JP7309828B2 - Asペア検証方法、装置及びデバイス - Google Patents

Asペア検証方法、装置及びデバイス Download PDF

Info

Publication number
JP7309828B2
JP7309828B2 JP2021196904A JP2021196904A JP7309828B2 JP 7309828 B2 JP7309828 B2 JP 7309828B2 JP 2021196904 A JP2021196904 A JP 2021196904A JP 2021196904 A JP2021196904 A JP 2021196904A JP 7309828 B2 JP7309828 B2 JP 7309828B2
Authority
JP
Japan
Prior art keywords
pair
information
asn
route
route information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021196904A
Other languages
English (en)
Other versions
JP2022089799A (ja
Inventor
シュンワン・ジュアン
ハイボ・ワン
ユナン・グ
ミンチン・フアン
ジョンチ・シア
ガン・ヤン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2022089799A publication Critical patent/JP2022089799A/ja
Application granted granted Critical
Publication of JP7309828B2 publication Critical patent/JP7309828B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本出願はコンピュータネットワーク技術の分野に関し、特に、自律システム(AS)ペア検証方法、装置及びデバイスに関する。
自律システム(autonomous system,AS)は、所定のエンティティによって管理され、統一ルーティングポリシーを持つインターネットプロトコル(Internet Protocol,IP)ネットワークである。ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol,BGP)を最初に設計する際にセキュリティ要素は考慮されない。したがって、予め設定された取引関係を持つ近隣ASの間でBGPルーティング情報が受け渡されるときにルーティング情報の漏洩が起こり易い。ルーティング情報の漏洩により、トラフィックが辿る経路が長くなることが多く、したがって、トラフィックの伝送遅延の増大が生じる。さらには、ルーティング情報の漏洩が深刻であると、ルートアクセスの異常な中断、トラフィックの傍受、中間者攻撃やスプーフィング攻撃などのセキュリティ上のリスクをさらに招くおそれがある。
ルートリークを防止するために、ASでは通常、リソース公開鍵基盤(resource public key infrastructure,RPKI)機構を用いるバレーフリー(valley free)原理にしたがって受信したBGPルーティング情報中のAS経路(AS path)の経路情報中のすべてのASペア(AS pair)を検証して、AS経路の有効性を決定し、BGPルートの安全度をさらに決定する場合がある。しかし、従来技術を用いて受信したAS経路の経路情報をASで検証するときに、ASではAS経路の経路情報中のASペアを誤って判断するおそれがある。その結果、AS経路の検証結果が不正確になる。
これに鑑みて、AS経路の検証の際にAS経路の経路情報中のASペアの誤判断をどのように防止するかが従来技術における早急に解決されるべき技術的課題である。
本出願の実施形態ではASペア検証方法、装置及びデバイスを提供する。本方法により、AS経路の検証の際にAS経路の経路情報中のASペアを誤って判断することを回避することができ、AS経路を検証する正確さを改善することができる。
第1の態様によれば、本出願の実施形態ではASペア検証方法を提供し、本方法はネットワークデバイスに適用されてもよい。方法は、ASペアを含む経路情報を取得するステップと、経路情報中のASペアが属する領域の領域情報を決定するステップと、その後、ASペアが属する領域の決定された領域情報に基づいてASペアを検証するステップとを含む。経路情報中のASペアは経路情報中の隣接する2つのAS番号を含む。
本出願の本実施形態で提供されているASペア検証方法を用いてASペアが検証されるときに、ASペアを検証するために、ASペアが属する領域の領域情報が導入される。これにより、経路情報中のASペアの検証の際に同じASペアが異なる領域で異なる取引関係を持つために、取引関係が誤って判断されることを回避することができる。さらに、ASペアが正確に検証されることが可能であり、これにより、ASペアを含む経路情報に対応する経路の有効性がバレーフリー原理にしたがって検証されるときに、検証の正確さが改善される。
可能な設計形態では、ASペアが属する領域の決定された領域情報に基づいてASペアを検証するステップは、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するステップを含む。
別の可能な設計形態では、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するステップは、ASペアを含む認証エントリと、ASペアが属する領域の領域情報に対応する領域識別子とを認証エントリデータベースが含むときに、ASペアが検証に成功したと判断するステップを含む。
別の可能な設計形態では、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するステップは、ASペアを含む認証エントリと、ASペアが属する領域の領域情報に対応する領域識別子とを認証エントリデータベースが含まないときに、ASペアの検証に失敗したと判断するステップを含む。
上記のいくつかの可能な実装では、ASペアが属する領域の領域識別子を認証エントリデータベースが含むので、ASペアが属する領域の領域情報に基づいてASペアが認証エントリデータベースにより検証されるときに、検証対象のASペアと同じASペアが認証エントリデータベースにより照合される必要があるだけでなく、検証対象のASペアが属する領域の領域情報に、検証対象のASペアと同じASペアの領域識別子が合致するか否かが、認証エントリデータベースにより判断される必要がある。
これにより、経路情報中のASペアの検証の際に同じASペアが異なる領域で異なる取引関係を持つために、取引関係が誤って判断されることを回避することができる。さらに、ASペアが正確に検証されることが可能であり、これにより、ASペアを含む経路情報に対応する経路の有効性がバレーフリー原理にしたがって検証されるときに、検証の正確さが改善される。
別の可能な設計形態では、経路情報中のASペアが属する領域の領域情報を決定するステップは、経路情報を含むルーティング情報から、ASペアが属する領域の領域情報を決定するステップ、又はルーティング情報中のプリフィックスに基づいて、ASペアが属する領域の領域情報を決定するステップを含む。
この可能な実装では、経路情報中のASペアが属する領域の領域情報が取得されることができる。このようにして、領域情報に基づいて認証エントリデータベース中のASペアをネットワークデバイスが検証することができる。これにより、ASペアを検証する正確さを改善する。
本出願の本実施形態では、ASペアが属する領域の領域情報が、領域情報を取得するのに用いられることが可能であるいかなる方法でも取得されてもよい点に留意するべきである。
別の可能な設計形態では、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するステップの前に、本方法は、認証エントリデータベースを取得するステップをさらに含む。
別の可能な設計形態では、認証エントリデータベースは第1の認証エントリデータベースを含み、認証エントリデータベースを取得するステップは、サーバからプロトコルデータユニット(protocol data unit,PDU)メッセージを受信するステップであって、PDUメッセージは予め設定された取引関係を持つASペアと、予め設定された取引関係を持つASペアが属する領域の領域識別子とを含む、ステップと、その後、受信したPDUメッセージに基づいて第1の認証エントリデータベースを生成するステップとを含む。
別の可能な設計形態では、認証エントリデータベースは第2の認証エントリデータベースをさらに含み、認証エントリデータベースを取得するステップは、ネットワークルーティングテーブル及び/又はネットワークデータに基づいて第2の認証エントリデータベースを生成するステップであって、ネットワークルーティングテーブル及び/又はネットワークデータは予め設定された取引関係を持つASペアと、予め設定された取引関係を持つASペアが属する領域の領域情報とを含む、ステップを含む。
上記のいくつかの可能な実装では、ASペアが属する領域の識別子を含む認証エントリデータベースをネットワークデバイスが異なる形態でローカルに構築することができる。このようにして、構築された認証エントリデータベースと検証対象のASペアが属する領域の領域情報とに基づいてASペアが正確に検証されることが可能である。これにより、ASペアを含む経路情報に対応する経路を検証する正確さを改善する。
別の可能な設計形態では、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するステップは、ASペアが属する領域の領域情報と、第1の認証エントリデータベースとに基づいてASペアを検証するステップと、ASペアの検証に失敗した場合に、ASペアが属する領域の領域情報と、第2の認証エントリデータベースとに基づいてASペアを検証するステップとを含む。
この可能な実装では、まず、ASペアが属する領域の領域情報と、サーバから取得された第1の認証エントリデータベースとに基づいてASペアをネットワークデバイスが検証することができる。ASペアの検証に失敗したとき、ASペアが属する領域の領域情報と、ネットワークルーティングテーブル及び/又はネットワークデータを解析することによって取得された第2の認証エントリデータベースとに基づいてASペアをネットワークデバイスが検証し直すことができる。このようにして、サーバの認証データが十分な完備性を持っていないとき、ネットワークルーティングテーブル及び/又はネットワークデータを解析することによって取得された認証データを用いて検証対象のASペアがさらに検証されることができる。これにより、ASペアの検証の際の誤った判断の割合をさらに減少させる。
別の可能な設計形態では、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するステップは、ASペアが属する領域の領域情報と、認証エントリデータベース中にありかつ経路情報中のプリフィックスに対応する対象認証エントリとに基づいてASペアを検証するステップであって、対象認証エントリ中のASペアのIPバージョンが経路情報中のプリフィックス中のIPバージョンと同じである、ステップを含む。
この可能な実装により、ASで異なるIPバージョンを用いるために経路情報中のASペアの検証にもたらされる影響を排除する。
別の可能な設計形態では、経路情報は予め設定された順序で配置される複数のAS番号を含み、複数のAS番号は経路情報に対応する経路を示すのに用いられ、本方法は、経路情報中のすべてのASペアを順番に検証して、経路情報に対応する経路を検証するステップをさらに含む。
この可能な実装では、本出願の本実施形態で提供されている方法を用いてASペアが検証される。これにより、経路情報中のASペアの検証の際に同じASペアが異なる領域で異なる取引関係を持つために、取引関係が誤って判断されることを回避することができる。このようにして、ASペアが正確に検証されることが可能であり、これにより、ASペアを含む経路情報に対応する経路の有効性がバレーフリー原理にしたがって検証されるときに、検証の正確さが改善される。
別の可能な設計形態では、本方法は、経路情報中のASペアの検証に最初に失敗したときに、経路情報中で検証されていないASペアを反転させるステップと、その後、経路情報に対応する経路の検証を完遂するために、反転したASペアを検証するステップとをさらに含む。
この可能な実装では、認証エントリデータベースが構築されるときに、単一の取引関係を含むデータベースが構築されるだけでよい。これにより、認証エントリデータベースを構築する効率を改善する。経路情報の検証の際には、通常はC2P ASペア、P2C ASペア及びP2P ASペアしか含まれないので、C2P ASペアのみを含む認証エントリデータベースが構成されてもよいし、P2C ASペアのみを含む認証エントリデータベースが構成されてもよい。ASペアの検証に最初に失敗したときには、検証されていないASペアだけをその後に反転させればよい。経路が有効であるときには、反転したASペアについて認証エントリデータベースにより照合することにより当該ASペアが発見されることが可能であり、これにより、検証が円滑に実行されることが可能である。
別の可能な設計形態では、本方法は、検証に失敗した多くとも1つのASペアを経路情報が含む場合に、経路情報に対応する経路が検証に成功したと判断するステップをさらに含む。
別の可能な設計形態では、本方法は、経路情報に基づいて第1の転送エントリを生成するステップをさらに含む。
2つの可能な実装では、検証に成功した経路に対応する経路情報に基づいて転送エントリをネットワークデバイスが生成する。転送エントリに対応する経路が検証に成功したので、転送エントリは安全な転送エントリである。このようにして、その後にメッセージを転送するときに、ルートリークを生じさせずに安全な転送エントリをネットワークデバイスが用いることができる。これにより、伝送されるデータの安全を確保する。
別の可能な設計形態では、本方法は、検証に失敗した少なくとも2つのASペアを経路情報が含む場合に、経路情報に対応する経路の検証に失敗したと判断するステップをさらに含む。
別の可能な設計形態では、本方法は、経路情報に基づいて第2の転送エントリを生成するステップと、その後、第2の転送エントリについての特定の情報にマーキングするステップであって、当該特定の情報が、第2の転送エントリがリスクの高い転送エントリであるのか、または優先度の低い転送エントリであるのかを示すのに用いられる、ステップとをさらに含む。
2つの可能な実装では、検証に失敗した経路に対応する経路情報に基づいて転送エントリをネットワークデバイスが生成することができる。当該転送エントリに対応する経路の検証に失敗した、すなわち、当該転送エントリが安全ではない転送エントリであるので、当該転送エントリを用いてメッセージが転送されるときに、ルートリークが生じるおそれがあり、情報漏洩が発生される。さらに、転送エントリを用いる際に転送エントリによってもたらされるリスクを漏れなく検討することをネットワークデバイスに促すように、当該安全ではない転送エントリについての特定の情報にマーキングがなされる。たとえば、当該転送エントリは安全要件が比較的高いデータメッセージを転送するのには用いられない。言い換えると、当該転送エントリを実際の状況に基づいてネットワークデバイスで用いることができる。これにより、ネットワークデバイスによって転送エントリを用いる柔軟性を改善する。
別の可能な設計形態では、ネットワークデバイスが第1のAS中のネットワークデバイスである場合、本方法は、経路情報に対応する経路の検証結果を対象デバイスに送信するステップであって、対象デバイスは、第1のAS中にありかつ通信のためにネットワークデバイスに接続されるデバイスである、ステップをさらに含む。
可能性な設計によれば、対象デバイスは経路情報を含むBGP更新メッセージを受信した後に、経路情報を検証することなく検証結果に基づいて経路情報を処理することができる。これにより、対象デバイスの使用リソースを削減し、対象デバイスの効率を改善する。
別の可能な設計形態では、「ASペアを含む経路情報を取得する」ステップは、ボーダ・ゲートウェイ・プロトコル(BGP)更新メッセージを取得するステップであって、BGP更新メッセージは経路情報を含む、ステップを含む。
別の可能な設計形態では、本方法は、BGP更新メッセージを受信した後に、BGP更新メッセージ中の経路情報中のASペアを検証して経路情報に対応する経路を検証するステップ、又はBGP更新メッセージを送信する前に、BGP更新メッセージ中の経路情報中のASペアを検証して経路情報に対応する経路を検証するステップをさらに含む。
この可能な実装では、ASペアを含む経路情報に対応する経路をネットワークデバイスが検証する時期が比較的自由である。さらにいえば、ネットワークデバイスでは経路情報を受信した後に経路を検証してもよいし、経路情報を送信する前と、経路情報を受信した後や経路情報を生成した後とに経路を検証してもよい。このことは、本出願の本実施形態で提供されている方法が複数の場面に適用可能であり、したがって、本方法により、本出願の本実施形態の方法の適用範囲を拡大することを示す。
第2の態様によれば、本出願の実施形態では自律システム(AS)ペア検証装置を提供し、本装置はネットワークデバイスに適用される。本装置は、経路情報を取得するように構成された取得ユニットであって、経路情報がASペアを含み、ASペアが経路情報中の隣接する2つのAS番号を含む、取得ユニットと、ASペアが属する領域の領域情報を決定して、領域情報に基づいてASペアを検証するように構成された処理ユニットとを含む。
可能な設計形態では、処理ユニットは、具体的には、領域情報と認証エントリデータベースとに基づいてASペアを検証するように構成される。
別の可能な設計形態では、処理ユニットは、具体的には、ASペアを含む認証エントリと、領域情報に対応する領域識別子とを認証エントリデータベースが含むときに、ASペアが検証に成功したと判断するように構成される。
別の可能な設計形態では、処理ユニットは、具体的には、ASペアを含む認証エントリと、領域情報に対応する領域識別子とを認証エントリデータベースが含まないときに、ASペアの検証に失敗したと判断するように構成される。
別の可能な設計形態では、処理ユニットは、経路情報を含むルーティング情報から、ASペアが属する領域の領域情報を決定するか、またはルーティング情報中のプリフィックスに基づいて、ASペアが属する領域の領域情報を決定するようにさらに構成される。
別の可能な設計形態では、取得ユニットは認証エントリデータベースを取得するようにさらに構成される。
別の可能な設計形態では、認証エントリデータベースは第1の認証エントリデータベースを含み、装置は、サーバからプロトコルデータユニット(PDU)メッセージを受信するように構成された受信ユニットであって、PDUメッセージが予め設定された取引関係を持つASペアと、予め設定された取引関係を持つASペアが属する領域の領域識別子とを含む、受信ユニットをさらに含み、処理ユニットはPDUメッセージに基づいて第1の認証エントリデータベースを生成するようにさらに構成される。
別の可能な設計形態では、認証エントリデータベースは第2の認証エントリデータベースをさらに含み、処理ユニットはネットワークルーティングテーブル及び/又はネットワークデータに基づいて第2の認証エントリデータベースを生成するようにさらに構成される。ネットワークルーティングテーブル及び/又はネットワークデータは予め設定された取引関係を持つASペアと、予め設定された取引関係を持つASペアが属する領域の領域情報とを含む。
別の可能な設計形態では、処理ユニットは、具体的には、領域情報と、第1の認証エントリデータベースとに基づいてASペアを検証し、ASペアの検証に失敗した場合に、領域情報と第2の認証エントリデータベースとに基づいてASペアを検証するようにさらに構成される。
別の可能な設計形態では、処理ユニットは、具体的には、領域情報と、認証エントリデータベース中にありかつ経路情報中のプリフィックスに対応する対象認証エントリとに基づいてASペアを検証するようにさらに構成され、対象認証エントリ中のASペアのインターネットプロトコル(IP)バージョンが経路情報中のプリフィックス中のIPバージョンと同じである。
別の可能な設計形態では、経路情報は予め設定された順序で配置される複数のAS番号を含み、複数のAS番号は経路情報に対応する経路を示すのに用いられ、処理ユニットは経路情報中のすべてのASペアを順番に検証して、経路情報に対応する経路を検証するようにさらに構成される。
別の可能な設計形態では、処理ユニットは、経路情報中のASペアの検証に最初に失敗したときに、経路情報中で検証されていないASペアを反転させ、経路情報に対応する経路の検証を完遂するために、反転したASペアを検証するようにさらに構成される。
別の可能な設計形態では、処理ユニットは、検証に失敗した多くとも1つのASペアを経路情報が含む場合に、経路情報に対応する経路が検証に成功したと判断するようにさらに構成される。
別の可能な設計形態では、処理ユニットは経路情報に基づいて第1の転送エントリを生成するようにさらに構成される。
別の可能な設計形態では、処理ユニットは、検証に失敗した少なくとも2つのASペアを経路情報が含む場合に、経路情報に対応する経路の検証に失敗したと判断するようにさらに構成される。
別の可能な設計形態では、処理ユニットは、経路情報に基づいて第2の転送エントリを生成し、第2の転送エントリについての特定の情報にマーキングするようにさらに構成され、当該特定の情報が、第2の転送エントリがリスクの高い転送エントリであるのか、または優先度の低い転送エントリであるのかを示すのに用いられる。
別の可能な設計形態では、ネットワークデバイスが第1のAS中のネットワークデバイスである場合、本装置は、経路情報に対応する経路の検証結果を対象デバイスに送信するように構成された送信ユニットであって、対象デバイスが、第1のAS中にありかつ通信のためにネットワークデバイスに接続されるデバイスである、送信ユニットをさらに含む。
別の可能な設計形態では、具体的には、取得ユニットは、ボーダ・ゲートウェイ・プロトコル(BGP)更新メッセージを取得するように構成され、BGP更新メッセージが経路情報を含む。
別の可能な設計形態では、処理ユニットは、BGP更新メッセージが受信された後に、BGP更新メッセージ中の経路情報中のASペアを検証して経路情報に対応する経路を検証するか、またはBGP更新メッセージが送信される前に、BGP更新メッセージ中の経路情報中のASペアを検証して経路情報に対応する経路を検証するようにさらに構成される。
区分により得られる機能モジュール/機能部が1つ以上のユニット/モジュールに組み込まれてもよいことが理解されるべきである。区分を通じて得られる機能モジュール/ユニットによって実行される可能な技術的解決手段の説明と有益な効果の説明とについては、第1の態様又は第1の態様の対応する可能な設計に係る技術的解決手段の説明を参照されたい。ここでは詳細は再度説明されない。
第3の態様によれば、本出願の実施形態ではASペア検証装置を提供する。ASペア検証装置はメモリと1つ以上のプロセッサとを含む。メモリはプロセッサに接続される。メモリはコンピュータ命令を記憶するように構成される。プロセッサはコンピュータ命令を呼び出して第1の態様又は第1の態様の可能な設計形態のいずれか1つに係る方法を実行するように構成される。
第4の態様によれば、本出願の実施形態ではASペア検証デバイスを提供する。デバイスはAS中のネットワークデバイスである。デバイスは第1の態様又は第1の態様の可能な設計形態のいずれか1つに係る方法を実行するように構成される。
第5の態様によれば、本出願の実施形態ではコンピュータ可読記憶媒体、たとえば非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体はコンピュータプログラム(又は命令)を記憶する。コンピュータプログラム(又は命令)がASペア検証装置で実行されるとき、ASペア検証装置が第1の態様のいずれかの可能な実装に係る方法を実行することが可能にされる。
第6の態様によれば、本出願の実施形態ではコンピュータプログラム製品を提供する。コンピュータプログラム製品がASペア検証装置で動作するとき、第1の態様のいずれかの可能な実装に係る方法が実行される。
第7の態様によれば、本出願の実施形態ではプロセッサを含むチップシステムを提供する。プロセッサはメモリから、メモリに記憶されているコンピュータプログラム呼び出して実行し、第1の態様のいずれかの実装に係る方法を実行するように構成される。
上記で提供されている装置、コンピュータ記憶媒体、コンピュータプログラム製品、チップシステムなどのいずれか1つが上記で提供されている対応する方法に適用されてもよいと理解されることができる。したがって、装置、コンピュータ記憶媒体、コンピュータプログラム製品、チップシステムなどによって実現されることが可能である有益な効果については、対応する方法の有益な効果を参照されたい。ここでは詳細は再度説明されない。
本出願の実施形態では、ASペア検証装置の名称はデバイスや機能モジュールに対するいかなる限定も構成しない。実際に実施する際には、当該デバイスや機能モジュールは他の名称を有してもよい。デバイスや機能モジュールの機能が本出願の実施形態に記載されている機能と同様であるのであれば、デバイスや機能モジュールは請求項および本出願の実施形態におけるその等価な技術の範囲内に入る。
本出願の実施形態に係る有効なAS経路の概略図である。 本出願の実施形態に係る無効なAS経路の概略図である。 本出願の実施形態に係る無効なAS経路の概略図である。 本出願の実施形態に係るネットワークデバイスのハードウェア構成の概略図である。 本出願の実施形態に係る検証システムのアーキテクチャの概略図である。 本出願の実施形態に係るASペア検証方法の概略フローチャートである。 本出願の実施形態に係る第1の認証エントリデータベースを生成する方法の概略フローチャートである。 本出願の実施形態に係るRIRウェブサイト上でASユーザによってASPA情報を登録することについての概略図である。 本出願の実施形態に係るRIRウェブサイト上でASユーザによってASPA情報を登録することについての概略図である。 本出願の実施形態に係るPDUメッセージの概略図である。 本出願の実施形態に係る第2の認証エントリデータベースを生成する方法の概略フローチャートである。 本出願の実施形態に係るASペア検証装置100の構成の概略図である。 本出願の実施形態に係るチップシステムの構成の概略図である。 本出願の実施形態に係るコンピュータプログラム製品の構成の概略図である。
本出願の実施形態の理解を深めるために、以下、本出願の実施形態で用いられているいくつかの用語や技術を説明する。
(1)AS近隣取引関係
AS近隣取引関係(AS neighbor business relationship)とは、トラフィック転送の支払いの形態について2つの近隣AS間で締結される取引契約の関係である。基本的な取引関係は、消費者(consumer)からプロバイダへの関係(customer to provider,C2P)、プロバイダから顧客への関係(provider to customer,P2C)及びピアツーピア関係(peer to peer,P2P)並びに兄弟ノード間の関係(sibling to sibling,S2S)を含む。
C2P関係とは、顧客ASがBGPルートの送信元としての役割を果たし、プロバイダASに支払いをして、プロバイダASを介した顧客ASからインターネット(internet)へのルートと、顧客からインターネットへのルートとを送信して、プロバイダASを介した顧客ASとインターネットとの間の通信を実施することを意味する。プロバイダASがBGPルートの受信側であることが分かる。
P2C関係についてはC2P関係の逆の説明として理解されることができ、P2C関係によって定められる内容はC2P関係によって定められる内容と同じである。違いは、C2P関係が顧客ASの観点から説明されている一方で、P2C関係がプロバイダASの観点から説明されていることである。詳細については説明しない。
これに加えて、P2P関係を持つ2つのASはピアツーピアであり、ピアツーピアASは両方向とも無料である。しかし、経済上の観点から、2つのピアツーピアASのいずれについても、他のASが当該ASを介してインターネットにアクセスするのは望ましくない。したがって、2つのピアツーピアASのいずれについても、当該ASから他のASへのルートと顧客から他のASへのルートとしかアドバタイズしない。
S2S関係を持つ2つのASは同じ団体に属し、料金が一切かかることなく自由にトラフィックを交換することができる。
(2)その他の用語
本出願の実施形態では、用語「例」又は用語「たとえば」は、例、図示例又は説明を設けることを表わすのに用いられる。本出願の実施形態において「例」として説明されていたり「たとえば」を用いて説明されていたりするいずれの実施形態や設計方式は、別の実施形態や設計方式よりも好ましかったりより多くの効果を奏するものとして説明されるべきでない。正確には、「例」や「たとえば」などの用語の使用については、関連する概念を特定の様式で提示することが意図されている。
本出願の実施形態の用語「第1」及び「第2」は説明に用いようと考えられているのにすぎず、示されている技術的特徴の相対的重要度を示し、または示唆し、または示されている技術的特徴の数量を暗示的に示すものとして理解されるべきでない。したがって、「第1」や「第2」によって限定される特徴は1つ以上の特徴を明示的に含んだり暗示的に含んだりしてもよい。本出願の説明では、別段記載されていない限り、「複数の」とは、2以上を意味する。
本出願における用語「少なくとも1つ」とは、1つ以上を意味し、本出願における用語「複数の」とは、2以上を意味する。たとえば、「複数の第2のメッセージ」とは、2つ以上の第2のメッセージを意味する。本明細書では、用語「システム」と用語「ネットワーク」とが双方とも同じ意味で用いられている場合がある。
本明細書において様々な例の説明に用いられている用語が特定の例を説明することを意図されているものにすぎない一方で、本明細書を限定することを意図されていないことは理解されるべきである。様々な例と添付の請求項との記載で用いられている単数形の用語「1つの」(“a”,“an”)と“the”とは、文脈上別段明示されていない限り、複数形を含むことも意図されている。
さらに、本明細書中で用いられている用語「及び/又は」は、関連する列挙された事物のうちの1つ以上の事物の任意の可能な組み合わせ又はすべての可能な組み合わせを表わし、これらを含むとさらに理解されるべきである。用語「及び/又は」は、関連する物を説明する関連関係を説明し、3つの関係が存在し得ることを表わす。たとえば、A及び/又はBは、Aのみが存在する場合と、AとBとの両方が存在する場合と、Bのみが存在する場合との3つを表わし得る。これに加えて、本出願における記号「/」は、通常は関連する物の「又は」の関係を表わす。
本出願の実施形態では、上記のプロセスの通し番号が実行順序を意味しないとさらに理解されるべきである。プロセスの実行順序はプロセスの機能及び内部ロジックに基づいて決められるべきであり、本出願の実施形態の実施プロセスに対するいかなる限定としても解釈されるべきでない。
Aに基づいてBを決定することが、BがAのみに基づいて決定されることを意味しないだけでなく、その代わりに、BがA及び/又は他の情報に基づいて決定されてもよいと理解されるべきである。
本明細書中で用いられている際、用語「含む(include)」(“includes”、“comprises”及び/又は“comprising”としても用いられる)は、記載されている特徴、整数、ステップ、動作、要素及び/又は構成要素の存在を示し、1つ以上の他の特徴、整数、ステップ、動作、要素、構成要素及び/又はこれらの集団の存在又は付加を除外しない、とさらに理解されるべきである。
用語「の場合」は、「のとき」(「のとき(when)」又は「の際(upon)」)、「との判断に応じて」又は「の検出に応じて」という意味に解釈される場合がある、とさらに理解されるべきである。同様に、文脈に応じて、「と判断される場合」又は「(記載されている条件若しくは事象)が検出される場合」という表現は、「と判断されるとき」、「との判断に応じて」、「(記載されている条件若しくは事象)が検出されるとき」又は「(記載されている条件若しくは事象)の検出に応じて」という意味に解釈される場合がある。
明細書にわたって記載されている「1つの実施形態」、「一実施形態」又は「可能な実装」は、実施形態又は実装に関係する特定の特徴、構成又は特性が本出願の少なくとも1つの実施形態に含まれることを意味する、と理解されるべきである。したがって、本明細書にわたって登場する「1つの実施形態では」、「一実施形態では」、又は「可能な実装では」は、必ずしも同じ実施形態を参照しない。これに加えて、当該特定の特徴、構成又は特性は、任意の適した形態で1つ以上の実施形態に組み込まれてもよい。
BGPルーティング情報がAS経路の経路情報(以下、AS経路情報と略称される)を含み、1つのAS経路情報が第1の予め設定された順序(本出願の実施形態の予め設定された順序に対応する)で配置される複数のAS番号(AS number,ASN)を含んでもよいと理解されるべきである。AS経路情報中の各AS番号によって1つのASを一義的に特定する。このようにして、第1の予め設定された順序は、複数のAS番号によって特定され、AS経路情報によって示されるAS経路中の通過箇所である複数のASの順序を示すのに用いられる。
第1の予め設定された順序で配置された複数のAS番号のうち、隣接する2つのAS番号が1つのASペアである。さらにいえば、AS経路情報は複数のASペアを含み、複数のASペアも第1の予め設定された順序で配置される。
一例では、AS経路1の経路情報は(ASN 3,ASN 2及びASN 1)を含む。この場合、AS経路1において、始点ASがASN 1によって特定されるASであってもよく、終点ASがASN 3によって特定されるASであってもよい。さらにいえば、ASN 1,ASN 2及びASN 3の配置順序は、AS経路1において、ASN 1によって特定されるASと、ASN 2によって特定されるASと、ASN 3によって特定されるASとが順番に通過されることを示す。AS経路1の経路情報はASN 1:ASN 2及びASN 2:ASN 3という2つのASペアを含む。
AS経路情報中のいずれのASペアも、予め設定されたAS近隣取引関係を持つ近隣ASのペアの通し番号であってもよい。予め設定されたAS近隣取引関係は上記のC2P関係、P2C関係、P2P関係又はS2S関係のいずれか1つであってもよい。
説明を簡略化するために、本出願の以下の実施形態についての説明として、C2P関係を持つASペアがC2P ASペアと称され、P2C関係を持つASペアがP2C ASペアと称され、P2P関係を持つASペアがP2P ASペアと称され、S2S関係を持つASペアがS2S ASペアと称される。
C2P関係又はP2C関係を持ついずれのASペアについても、ASペアの近隣ASの順序はASペア間の取引関係に対応する。
一例において、ASペア1、すなわちASN 1:ASN 2について、ASペア1がC2P ASペアである場合には、ASN 1によって特定されるASが顧客ASであり、ASN 2によって特定されるASがプロバイダASである。ASペア1がP2C ASペアである場合には、ASN 1によって特定されるASがプロバイダASであり、ASN 2によって特定されるASが顧客ASである。
現在、BGPルートリークに起因される影響を避けるために、1つのBGPルーティング情報中のAS経路情報についてルートリークが生じるか否かを検出するのに、通常はバレーフリー原理が用いられている。
バレーフリー原理とは、任意のBGPルーティング情報中のAS経路情報について、AS経路情報が厳密に第2の予め設定された順序で配置されたm個のC2P ASペア、0個又は1つのP2P ASペア又はn個のP2C ASペアのうちの少なくとも1つしか含むことができないというものであり、ここで、m及びnは0以上の整数である。
第2の予め設定された順序は、C2P ASペアが0個以上のC2P ASペア、P2P ASペア又は0個以上のP2C ASペアの少なくとも1つに後続されることができ、P2P ASペアが0個以上のP2C ASペアのみに後続され、P2C ASペアが0個以上のP2C ASペアのみに後続されるものを含む。
さらにいえば、C2P ASペアのみを含むAS経路情報によって示される経路が上り経路(upstream path)とし称され、P2C ASペアのみを含むAS経路情報によって示される経路が下り経路(downstream path)と称される場合、バレーフリー原理にしたがえば、上り経路と下り経路との両方を含むAS経路では、上り経路と下り経路とによって形成される波の山又は波の谷が繰り返し生じないといえる。これは利益を最大にする方針に合致する。
この例では、AS経路情報中のASペアの配置順序がバレーフリー原理に合致する場合には、AS経路情報に一切ルートリークが生じない、言い換えると、AS経路情報によって示されるAS経路が有効であると考えられることができる。AS経路情報中のASペアの配置順序がバレーフリー原理に合致しない場合には、AS経路情報にルートリークが生じる、言い換えると、AS経路情報によって示されるAS経路が無効であると考えられることができる。
たとえば、図1は有効なAS経路の概略図である。
図1に示されているように、図1に示されているAS経路1の経路情報が(ASN 5,ASN 4,ASN 3,ASN 2及びASN 1)を含んでいる。
AS経路1では、始点ASがASN 1によって特定されるASであり、終点ASがASN 5によって特定されるASである。AS経路1の経路情報はASN 1:ASN 2,ASN 2:ASN 3,ASN 3:ASN 4及びASN 4:ASN 5という4つのASペアを含む。ASN 1:ASN 2とASN 2:ASN 3との両方がC2P ASペアであり、ASN 3:ASN 4とASN 4:ASN 5との両方がP2C ASペアである。
ASN 1:ASN 2では、ASN 2によって特定されるASがプロバイダとしての役割を果たすASであり、ASN 2:ASN 3では、ASN 2によって特定されるASが顧客としての役割を果たすASであることが分かる。同様に、ASN 3:ASN 4では、ASN 4によって特定されるASが顧客としての役割を果たすASであり、ASN 4:ASN 5では、ASN 4によって特定されるASがプロバイダとしての役割を果たすASである。
AS経路1の経路情報中において、C2P関係を持つASN 1:ASN 2には、C2P関係を持つASN 2:ASN 3と、各々がP2C関係を持つASN 3:ASN 4及びASN 4:ASN 5とが後続されることが分かる。C2P関係を持つASN 2:ASN 3には、各々がP2C関係を持つASN 3:ASN 4及びASN 4:ASN 5のみが後続される。P2C関係を持つASN 3:ASN 4には、P2C関係を持つASN 4:ASN 5のみが後続される。
したがって、AS経路1の経路情報中のASペアの配置順序はバレーフリー原理に合致する、言い換えると、AS経路1は有効である。
図1に示されているAS経路2の経路情報が(ASN 8,ASN 7,ASN 6,ASN 3,ASN 2及びASN 1)を含んでいる。
AS経路2では、始点ASがASN 1によって特定されるASであり、終点ASがASN 8によって特定されるASである。AS経路2の経路情報はASN 1:ASN 2,ASN 2:ASN 3,ASN 3:ASN 6,ASN 6:ASN 7及びASN 7:ASN 8という5つのASペアを含む。ASN 1:ASN 2とASN 2:ASN 3との両方がC2P ASペアであり、ASN 3:ASN 6がP2P ASペアであり、ASN 6:ASN 7とASN 7:ASN 8との両方がP2C ASペアである。
AS経路2の経路情報中において、C2P関係を持つASN 1:ASN 2に、C2P関係を持つASN 2:ASN 3と、P2P関係を持つASN 3:ASN 6と、各々がP2C関係を持つASN 6:ASN 7及びASN 7:ASN 8とが後続されることが分かる。C2P関係を持つASN 2:ASN 3の後には、P2P関係を持つASN 3:ASN 6と、各々がP2C関係を持つASN 6:ASN 7及びASN 7:ASN 8とが後続される。P2P関係を持つASN 3:ASN 6には、各々がP2C関係を持つASN 6:ASN 7及びASN 7:ASN 8のみが後続される。P2C関係を持つASN 6:ASN 7の後には、P2C関係を持つASN 7:ASN 8のみが後続される。
したがって、AS経路2の経路情報中のASペアの配置順序はバレーフリー原理に合致する、言い換えると、AS経路2も有効である。
図2(a)及び図2(b)は無効なAS経路の概略図である。
図2(a)に示されているように、AS経路1の経路情報が(ASN 9,ASN 5,ASN 4,ASN 3,ASN 2及びASN 1)を含んでいる。
AS経路1では、始点ASがASN 1によって特定されるASであり、終点ASがASN 9によって特定されるASである。AS経路1の経路情報はASN 1:ASN 2,ASN 2:ASN 3,ASN 3:ASN 4,ASN 4:ASN 5及びASN 5:ASN 9という5つのASペアを含む。ASN 1:ASN 2,ASN 2:ASN 3及びASN 5:ASN 9のすべてがC2P ASペアになる場合があり、ASN 3:ASN 4とASN 4:ASN 5との両方がP2C ASペアになる場合がある。
AS経路1の経路情報中において、P2C関係を持つASN 4:ASN 5に、C2P関係を持つASN 5:ASN 9が後続されることが分かる。AS経路1の経路情報中のASペアASN 4:ASN 5及びASペアASN 5:ASN 9の配置順序がバレーフリー原理に合致しない、言い換えると、AS経路1が無効であることが分かる。
図2(b)に示されているAS経路2の経路情報が(ASN 10,ASN 8,ASN 7,ASN 6,ASN 3,ASN 2及びASN 1)を含んでいる。
AS経路2では、始点ASがASN 1によって特定されるASであり、終点ASがASN 10によって特定されるASである。AS経路2の経路情報はASN 1:ASN 2,ASN 2:ASN 3,ASN 3:ASN 6,ASN 6:ASN 7,ASN 7:ASN 8及びASN 8:ASN 10という6つのASペアを含む。ASN 1:ASN 2,ASN 2:ASN 3及びASN 8:ASN 10のすべてがC2P ASペアであり、ASN 3:ASN 6がP2P ASペアであり、ASN 6:ASN 7とASN 7:ASN 8との両方がP2C ASペアである。
AS経路2の経路情報中において、P2C関係を持つASN 7:ASN 8に、C2P関係を持つASN 8:ASN 10が後続されることが分かる。AS経路2の経路情報中のASペアASN 7:ASN 8及びASペアASN 8:ASN 10の配置順序がバレーフリー原理に合致しない、言い換えると、AS経路2も無効であることが分かる。
その一方で、BGPルーティング情報中のAS経路情報によって示されるAS経路の有効性がバレーフリー原理にしたがって検証されるときに、AS経路情報中のASペア間の取引関係が誤って判断されることが多い。したがって、AS経路情報によって示されるAS経路の有効性の検証の際に誤りが生じる。
一般的に、同じASペアが異なる領域で異なる取引関係を持つ場合があるために、AS経路情報中のASペア間の取引関係が誤って判断される。
一例として、領域Aでは、ASペア1がC2P関係を持つASペアである。その一方で、領域Bでは、ASペア1はP2C関係を持つASペアである。
領域Bにおいて、ASペア1を含むAS経路情報によって示されるAS経路の有効性が上記のバレーフリー原理にしたがって検証されるときに、AS経路情報によって示されるAS経路が有効か否かを判断するために、領域AでのASペア1間の取引関係が領域BでのASペア1間の取引関係とみなされる場合がある。この場合、領域Bにおいて、実際にはAS経路が有効なAS経路であるにもかかわらず、AS経路が無効であると判断され、または実際にはAS経路が無効なAS経路であるにもかかわらず、AS経路が有効であると判断される。
これに鑑みて、本出願の実施形態ではASペア検証方法を提供する。本方法では、ASペアを検証するのに用いられる認証エントリデータベースに、各々のASペアが属する領域の領域識別子が加えられる。これにより、AS経路の有効性がバレーフリー原理にしたがって検証されるときに経路情報中のASペア間の取引関係が誤って判断されるために、BGPルーティング情報中の経路情報によって示されるAS経路の有効性が誤って判断されることを避けることができる。
したがって、本出願の本実施形態で提供されているASペア検証方法により、ASペアを含む経路情報によって示されるAS経路の有効性を検証する正確さを改善する。
本出願の実施形態ではASペア検証装置(以下、検証装置と略称される)をさらに提供する。検証装置はASペアを検証する必要があるいかなるネットワークデバイスであってもよい。
たとえば、ネットワークデバイスはネットワーク解析デバイス、ネットワーク制御デバイス、ゲートウェイデバイス又はルーティングデバイスであってもよい。ここではこれは限定されない。
図3は本出願の実施形態に係るネットワークデバイス30のハードウェア構成の概略図である。
図3に示されているように、ネットワークデバイス30はプロセッサ31、メモリ32、通信インタフェース33及びバス34を含む。プロセッサ31、メモリ32及び通信インタフェース33はバス34を通じて互いに接続されてもよい。
プロセッサ31はネットワークデバイス30の制御の中核であり、汎用の中央処理装置(central processing unit,CPU)であってもよいし、別の汎用プロセッサなどであってもよい。汎用プロセッサはマイクロプロセッサ、任意の従来のプロセッサなどであってもよい。
一例では、プロセッサ31は1つ以上のCPU、たとえば、図3に示されているCPU 0とCPU 1とを含んでもよい。
メモリ32は、読み出し専用メモリ(read-only memory,ROM)又は静的情報及び命令を記憶することができる別のタイプの静的記憶デバイスや、ランダムアクセスメモリ(random access memory,RAM)又は情報及び命令を記憶することができる別のタイプの動的記憶デバイスであってもよく、電気的消去可能プログラマブル読み出し専用メモリ(electrically erasable programmable read-only memory,EEPROM)、磁気ディスク記憶媒体又は別の磁気記憶デバイスや、命令又はデータ構造の形式の所要のプログラムコードを担持する、すなわち記憶することができ、コンピュータによってアクセスされることが可能であるその他一切の媒体であってもよい。ただし、ここではこれは限定されない。
可能な実装では、メモリ32はプロセッサ31から独立していてもよい。メモリ32はバス34を通じてプロセッサ31に接続されてもよく、データ、命令又はプログラムコードを記憶するように構成されている。メモリ32に記憶される命令又はプログラムコードを呼び出して実行すれば、プロセッサ31は本出願の実施形態で提供されているASペア検証方法を実施することができる。
別の可能な実装では、その代わりに、メモリ32はプロセッサ31と一体化されてもよい。
通信インタフェース33はネットワークデバイス30を通信ネットワークを用いて別のデバイス(サーバなど)に接続するように構成されている。通信ネットワークはEthernet、無線アクセスネットワーク(radio access network,RAN)、無線ローカルエリアネットワーク(wireless local area network,WLAN)などであってもよい。通信インタフェース33はデータを受信するように構成されている受信ユニットと、データを送信するように構成されている送信ユニットとを含んでもよい。
バス34は業界標準アーキテクチャ(Industry Standard Architecture,ISA)バス、ペリフェラル・コンポーネント・インターコネクト(Peripheral Component Interconnect,PCI)バス、拡張業界標準アーキテクチャ(Extended Industry Standard Architecture,EISA)バスなどであってもよい。バスはアドレスバス、データバス、コントロールバスなどに類別されてもよい。表現を容易にするために、図3ではバスを表わすのに1本の太線のみが用いられているが、このことは1つのバスしか存在しなかったり一種類のバスしか存在しなかったりすることを意味しない。
図3に示されている構成がネットワークデバイスに対する限定を構成しない点が留意されるべきである。図3に示されている構成要素に加えて、ネットワークデバイス30は図に示されている構成要素よりも多数であったり少数であったりする構成要素を含んでもよいし、いくつかの構成要素を組み合せてもよいし、異なる構成要素配置を持ってもよい。
本出願の実施形態ではASペア検証システム(以下、検証システムと略称される)をさらに提供する。検証システムはRPKI機構を基礎とする検証システムである。
具体的な例として、図4は本出願の実施形態に係る検証システム40のアーキテクチャの概略図である。
図4に示されているように、検証システム40はAS 41とAS 42とを含む。BGPルーティング情報を交換するために、AS 41とAS 42との間でネットワークデバイス411とネットワークデバイス421とを用いて外部BGP(external/exterior BGP,EBGP)が動作してもよい。ネットワークデバイス411はAS 41中のゲートウェイデバイスであってもよく、ネットワークデバイス421はAS 42中のゲートウェイデバイスであってもよい。ネットワークデバイスに検証装置が適用されてもよいことが理解されるべきである。
ネットワークデバイス411は通信のためにRPKIサーバ43に接続される。RPKIサーバ43はトラストアンカー44と通信し、トラストアンカー44から自律システムプロバイダ認証(autonomous system provider authorization,ASPA)情報を取得してもよい。
その後、RPKIサーバ43はASPA情報を処理してプレーンテキストのASPA認証情報を取得する。RPKIサーバ43はAS 41によって専用されるRPKIサーバであってもよいし、AS 41を含む複数のAS(たとえば、AS 42をさらに含む)によって共有されるRPKIサーバであってもよい。ここではこれは限定されない。
このようにして、ネットワークデバイス411はRPKIサーバ43からASPA認証情報を取得して認証エントリデータベースを生成してもよい。この場合、ネットワークデバイス411はネットワークデバイス421によって送信されたBGPルーティング情報を受信した後、認証エントリデータベースに基づいてBGPルーティング情報中のAS経路情報中のASペアを検証して、AS経路情報によって示されるAS経路の有効性を検証してもよい。
以下、添付の図面を参照して本出願の実施形態で提供されているASペア検証方法を説明する。
図5は本出願の実施形態に係るASペア検証方法の概略フローチャートである。本方法は図4に示されている検証システム40中のネットワークデバイスに適用されてもよい。本方法は以下のステップを含んでもよい。
S101:ネットワークデバイスが経路情報を取得する。
経路情報は上記で説明されているAS経路情報である。さらにいえば、経路情報は1つのAS経路を示し、AS経路は経路情報に対応する経路である。
すなわち、経路情報は少なくとも1つのASペアを含み、少なくとも1つのASペアのうちのいずれのASペアも、経路情報中の隣接する2つのAS番号である。ASペアの関連説明については、上記の説明を参照されたい。ここでは詳細は再度説明されない。
任意選択で、ネットワークデバイスはBGP更新メッセージを取得することによって経路情報を取得してもよい。BGP更新メッセージは経路情報を含む。
可能な実装では、BGP更新メッセージを生成した後、かつ近隣デバイスにBGP更新メッセージを送信する前に、ネットワークデバイスがBGP更新メッセージ中の経路情報中のASペアを検証して、経路情報によって示されるAS経路の有効性を検証してもよい。
一例では、図4を参照して、ネットワークデバイスが、AS 41のゲートウェイデバイスとしての役割を果たすネットワークデバイス411である場合、BGP更新メッセージを生成した後、かつAS 41の近隣AS 42中のゲートウェイデバイスとしての役割を果たすネットワークデバイス421にBGP更新メッセージを送信する前に、ネットワークデバイス411がBGP更新メッセージ中の経路情報中のASペアを検証して、経路情報によって示されるAS経路の有効性を検証してもよい。
別の可能な実装では、近隣デバイスによって送信されたBGP更新メッセージを受信した後、ネットワークデバイスがBGP更新メッセージ中の経路情報中のASペアを検証して、経路情報によって示されるAS経路の有効性を検証してもよい。
一例では、図4を参照して、ネットワークデバイスが、AS 41のゲートウェイデバイスとしての役割を果たすネットワークデバイス411である場合、AS 41の近隣AS 42中のゲートウェイデバイスとしての役割を果たすネットワークデバイス421によって送信されたBGP更新メッセージを受信した後に、ネットワークデバイス411がBGP更新メッセージ中の経路情報中のASペアを検証して、経路情報によって示されるAS経路の有効性を検証してもよい。
ASペアを検証して、ASペアを含む経路情報によって示されるAS経路の有効性を検証することについての説明については、以下のS104での説明を参照されたい。ここでは詳細は説明されない。
S102:経路情報中のASペアが属する領域の領域情報をネットワークデバイスが決定する。
説明を簡略化するために、以下の説明のための例として、第1のASペアが属する領域の領域情報をネットワークデバイスが決定するものが用いられる。第1のASペアは、S101で取得された経路情報の少なくとも1つ中のASペアのうちのいずれかのASペアである。
可能な実装では、経路情報を含むルーティング情報は第1のASペアが属する領域の領域情報を含む。この場合、経路情報を含むルーティング情報から第1のASペアが属する領域の領域情報をネットワークデバイスが決定してもよい。
任意選択で、ルーティング情報(たとえばBGPルーティング情報)を受信するネットワークデバイス1について、ネットワークデバイス1はネットワークデバイス1の地理的位置情報をBGPルーティング情報中の経路属性情報に加えてもよい。その後、ネットワークデバイス1はネットワークデバイス1の地理的位置情報が加えられたBGPルーティング情報を近隣デバイスに送信してもよい。
近隣デバイスが、ネットワークデバイス1が位置するASに隣接するAS中のネットワークデバイスである場合、ネットワークデバイス1はネットワークデバイス1が位置するASのAS番号(たとえばASN 1)をBGPルーティング情報中の経路情報にさらに加える。
この場合、近隣デバイスが本出願の本実施形態で説明されているネットワークデバイスである場合、本出願の本実施形態で説明されているネットワークデバイスが、ネットワークデバイス1によってネットワークデバイス1の地理的位置情報が加えられたBGPルーティング情報を受信した後、ネットワークデバイス1によって加えられた地理的位置情報に基づいて、第1のASペアが属する領域の領域情報でありかつASN 1を含むBGPルーティング情報に含まれる領域情報をネットワークデバイスが決定することができる。
たとえば、ネットワークデバイス1は受信したBGPルーティング情報1に地理的位置情報を加えてもよく、地理的位置情報は具体的には、
AS経路:3356 4809 9392
286:4990(ヨーロッパ)
である。
「286」は、ネットワークデバイス1が位置するASのAS番号(たとえばAS 1)である。BGPルーティング情報1中の経路属性情報にネットワークデバイス1によって加えられたネットワークデバイス1の地理的位置情報は、ネットワークデバイス1の地理的位置を「ヨーロッパ」として認識させる「4990(ヨーロッパ)」であってもよく、ここで、「4990」は「ヨーロッパ」の識別番号である。
ネットワークデバイスが位置するASの近隣ASがAS 2である場合において、ネットワークデバイス1が受信したBGPルーティング情報1をAS 2中のネットワークデバイス2に送信する必要があるとき、ネットワークデバイス1がAS 1のAS番号「286」をBGPルーティング情報1中の経路情報に加えることがさらに必要である。すなわち、AS経路が「AS経路:286 3356 4809 9392」に変更される。
この場合、本出願の本実施形態で説明されているネットワークデバイスがネットワークデバイス2である場合、本出願の本実施形態で説明されているネットワークデバイスがネットワークデバイス1によって送信されたBGPルーティング情報1を受信した後、BGPルーティング情報1においてAS番号286を含む第1のASペア(すなわちASペア3356:286)が属する領域の領域情報が、ネットワークデバイス1によってBGPルーティング情報1に加えられた地理的位置情報「4990(ヨーロッパ)」であり、言い換えると、ASペア3356:286が属する領域の領域情報が、「ヨーロッパ」であり、ここで、3356はネットワークデバイス1が位置するASの別の近隣ASのAS番号(たとえばAS 3)である。
別の可能な実装では、経路情報を含むルーティング情報がプリフィックスを含む。プリフィックスは通常、IPアドレスセグメントとマスクとを含む。本出願ではこれは限定されず、このようにして、プリフィックスによってカバーされたいずれかのIPアドレスに基づいて、IPアドレスに達する前に通過する地理的位置をネットワークデバイスが検出して、経路情報中のASペアが属する領域の領域情報を決定してもよい。
一例では、経路情報1は具体的には、
“as_path”:“4809 58879 132813”
“prefix”:“45.195.52.0/22”
である。
経路情報1は(4809,58879,132813)であり、経路情報1中のプリフィックスは45.195.52.0/22である。この場合、ネットワークデバイスはプリフィックスによってカバーされたIPアドレス(たとえば45.195.52.1)に基づいてトレースルート(traceroute)検出を実行して、返されたトレースルート結果を取得してもよい。
たとえば、トレースルート結果は、45.195.52.1に達する前に、領域1内にありAS番号4809を持つAS中の1つ以上のネットワークノードと、領域1及び領域2内にありAS番号58879を持つAS中の1つ以上のネットワークノードと、領域2内にありAS番号132813を持つAS中の1つ以上のネットワークノードとを通過されることを示す。
この場合、経路情報中のASペア132813:58879が属する領域の領域情報が領域2であり、経路情報中のASペア58879:4809が属する領域の領域情報が領域1であるとネットワークデバイスが判断することができる。
もちろん、第1のASペアが属する領域の領域情報を決定する上記の可能な実装は、説明のための例として用いられているものにすぎない。第1のASペアが属する領域の領域情報を決定する特定の実装は本出願の本実施形態では限定されない。
S103:ASペアが属する領域の決定された領域情報に基づいてASペアをネットワークデバイスが検証する。
説明を簡略化するために、説明のための例として、第1のASペアが属する領域の決定された領域情報に基づいて第1のASペアをネットワークデバイスが検証するものが用いられる。
具体的には、第1のASペアが属する領域の決定された領域情報(本出願の本実施形態では、以下、「第1のASペアが属する領域の領域情報」が「第1の領域情報」と略称される)と認証エントリデータベースとに基づいて第1のASペアをネットワークデバイスが検証する。
認証エントリデータベースについては、ネットワークデバイスによって予め設定されてもよいし、ネットワークデバイスが経路情報中のASペアを検証する前にネットワークデバイスによってサーバから取得されてもよい。ここではこれは限定されない。
認証エントリデータベースは少なくとも1つの認証エントリを含む。
少なくとも1つの認証エントリのうちの第1の認証エントリについて、第1の認証エントリは予め設定された取引関係を持つ少なくとも1つのASペアを含む。予め設定された取引関係は上記で説明されているC2P関係、P2C関係、P2P関係又はS2S関係のいずれか1つであってもよい。
説明を容易にするために、本出願の本実施形態の以下の説明のための例として、予め設定された取引関係がC2P関係であるものが用いられる。この場合、第1の認証エントリが少なくとも1つのC2P ASペアを含む。言い換えると、認証エントリデータベース中のすべてのASペアがC2P ASペアである。
第1の認証エントリ中の少なくとも1つのC2P ASペアについて、少なくとも1つのC2P ASペアが同じ顧客AS番号(たとえばAS 1のASN 1)を含むことが理解されるべきである。さらにいえば、顧客AS番号によって示されるASは少なくとも1つのプロバイダASを含む。
たとえば、表1に示されているように、表1に示されている1つの行が1つの認証エントリを表わす。
認証エントリ1は顧客AS 1のAS番号(すなわちASN 1)とプロバイダAS 2のAS番号(すなわちASN 2)とを含むASペア(すなわちASN 1:ASN 2)を含むことができる。
認証エントリ2は顧客AS 3のAS番号(すなわちASN 3)とプロバイダAS 4のAS番号(ASN 4)とを含むASペア(すなわちASN 3:ASN 4)と、顧客AS 3のAS番号(すなわちASN 3)とプロバイダAS 5のAS番号(ASN 5)とを含むASペア(すなわちASN 3:ASN 5)とを含むことができる。
顧客AS 3は2つのプロバイダAS(すなわちプロバイダAS 4及びプロバイダAS 5)を有することが分かる。
詳細が表1に示される。
Figure 0007309828000001
第1の認証エントリが、少なくとも1つのC2P ASペアが属する領域の領域識別子をさらに含む点が留意されるべきである。
少なくとも1つのC2P ASペアが属する領域は、少なくとも1つのC2P ASペアが位置する地理的領域である。領域識別子によって少なくとも1つのC2P ASペアが位置する地理的領域を一義的に特定する。
第2の例において、表1を参照して、表2に示されているように、表2は認証エントリ1と認証エントリ2とを概略的に示し、各々はASペアが属する領域の領域識別子を含む。
認証エントリ1に含まれる1つのC2P ASペアが属する領域は領域識別子1を有し、認証エントリ2に含まれる2つのC2P ASペアが属する領域は領域識別子2を有する。
詳細が表2に示される。
Figure 0007309828000002
異なる領域内の同じASペア間の取引関係のすべてがC2P関係であってもよいと理解されることができる。したがって、認証エントリデータベースは同じASペアと異なる領域識別子とを含む複数の認証エントリを含んでもよい。
第3の例において、表2に示されているASペア(ASN 1:ASN 2)が、領域識別子3を有する領域に位置し、かつこのASペアもC2P関係を持つ場合、認証エントリデータベースは、ASペア(ASN 1:ASN 2)と領域識別子3とを含む1つの認証エントリをさらに含む。
詳細が表3に示される。
Figure 0007309828000003
第4の例では、表2に示されているASペア(ASN 3:ASN 4)が、領域識別子4を有する領域に位置し、かつこのASペアもC2P関係を持つ場合、認証エントリデータベースは、ASペア(ASN 3:ASN 4)と領域識別子4とを含む1つの認証エントリをさらに含む。
詳細が表4に示される。
Figure 0007309828000004
同じ顧客ASNを含む少なくとも1つのASペアについて、すべての領域内の少なくとも1つのASペア間の取引関係がC2P関係である場合、少なくとも1つのC2P ASペアを含む認証エントリ中の領域識別子が空であってもよいことがさらに理解されるべきである。
第5の例では、表2に示されているASペア(ASN 3:ASN 4)及び(ASN 3:ASN 5)がすべての領域でC2P関係を持つ場合、認証エントリデータベースは、(ASN 3:ASN 4)及び(ASN 3:ASN 5)を含みかつ領域識別子が空であってもよい認証エントリを含む。
詳細が表5に示される。
Figure 0007309828000005
任意選択で、認証エントリデータベースは第1の認証エントリデータベースと第2の認証エントリデータベースとの少なくとも一方を含んでもよい。
説明を明確にするために、本出願の本実施形態の以下の具体的な説明のための例として、認証エントリデータベースが第1の認証エントリデータベースと第2の認証エントリデータベースとを含むものが用いられる。
第1の認証エントリデータベースはサーバによって取得されたASPA認証情報に基づいて生成される認証エントリデータベースであってもよい。ASPA認証情報は地域インターネットレジストリ(Regional Internet Registry,RIR)(たとえば、Asia-Pacific RIR、American RIR、RIPE RIR、Latin American and Caribbean RIR及びAfrican RIRという5つのRIRがある)のトラストアンカーからサーバによって取得されてもよい。
第1の認証エントリデータベースを生成することについての具体的な説明については、以下のS201~S203の説明を参照されたい。ここでは詳細は説明されない。
第2の認証エントリデータベースはネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて生成される認証エントリデータベースであってもよい。第2の認証エントリデータベースを生成することについての具体的な説明については、以下のS301及びS302の説明を参照されたい。ここでは詳細は説明されない。
第1の認証エントリデータベースが第1の認証エントリサブデータベースと第2の認証エントリサブデータベースとを含んでもよいことが理解されるべきである。第1の認証エントリサブデータベース中のいずれかの認証エントリ中のいずれかのASペアについて、当該いずれかのASペアによって特定されるASのペアによって用いられるIPアドレスはインターネット・プロトコル・バージョン4(Internet protocol version 4,IPv4)IPアドレスである。
第2の認証エントリサブデータベース中のいずれかの認証エントリ中のいずれかのASペアについて、当該いずれかのASペアによって特定されるASのペアによって用いられるIPアドレスはインターネット・プロトコル・バージョン6(Internet protocol version 6,IPv6)IPアドレスである。
同様に、第2の認証エントリデータベースは第3の認証エントリサブデータベースと第4の認証エントリサブデータベースとを含んでもよい。第3の認証エントリサブデータベース中のいずれかの認証エントリ中のいずれかのASペアについて、当該いずれかのASペアによって特定されるASのペアによって用いられるIPアドレスはIPv4 IPアドレスである。
第4の認証エントリサブデータベース中のいずれかの認証エントリ中のいずれかのASペアについて、当該いずれかのASペアによって特定されるASのペアによって用いられるIPアドレスはIPv6 IPアドレスである。
したがって、第1の領域情報、第1の認証エントリデータベース及び第2の認証エントリデータベースに基づいて経路情報中のASペアをネットワークデバイスが検証することができる。
可能な実装では、まず第1の領域情報及び第1の認証エントリデータベースに基づいて第1のASペアをネットワークデバイスが検証してもよい。第1のASペアの検証に失敗した場合、第1の領域情報及び第2の認証エントリデータベースに基づいて第1のASペアをネットワークデバイスが検証し直してもよい。
具体的には、まず第1の領域情報及び第1の認証エントリデータベースに基づいて第1のASペアをネットワークデバイスが検証するとき、取得された経路情報中のプリフィックスに基づいて、経路情報中のASペアを検証するのに用いられる認証エントリサブデータベースをネットワークデバイスが決定してもよい。
取得された経路情報中のプリフィックス中のIPアドレスセグメントがIPv4アドレスセグメントである場合には、第1のASペアを検証するのに用いられる認証エントリサブデータベースは第1の認証エントリサブデータベースであり、そうではなく、経路情報中のプリフィックス中のIPアドレスセグメントがIPv6アドレスセグメントである場合には、第1のASペアを検証するのに用いられる認証エントリデータベースは第2の認証エントリサブデータベースであることは容易に理解される。
たとえば、経路情報中のプリフィックス中のIPアドレスセグメントはIPv4アドレスセグメントである。この場合、第1のASペアを検証するのに用いられる認証エントリデータベースは第1の認証エントリサブデータベースである(この場合、第1の認証エントリサブデータベース中の認証エントリは本出願の実施形態の対象認証エントリに対応する)。
その後、第1の領域情報に基づいて、第1のASペアを含む認証エントリと、第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含むか否かをネットワークデバイスが判断し、または第1のASペアを含みかつ領域識別子項目が空である認証エントリを第1の認証エントリサブデータベースが含むか否かをネットワークデバイスが判断して、第1のASペアが検証に成功したか否かを判断してもよい。
具体的には、第1のASペアを含む認証エントリと、第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含むとネットワークデバイスが判断する場合、第1のASペアが検証に成功したとネットワークデバイスが判断する。
第1のASペアを含む認証エントリと、第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含まないとネットワークデバイスが判断する場合、第1のASペアの検証に失敗したとネットワークデバイスが判断する。
任意選択で、まず第1の認証エントリサブデータベースに対してネットワークデバイスがトラバースを行なって、第1の認証エントリサブデータベースが第1のASペアを含むか否かを判断してもよい。
上記の結果、第1の認証エントリサブデータベースが第1のASペアを含むとき、第1の認証エントリサブデータベースにおいて第1のASペアを含む認証エントリ中の領域識別子項目が空であるか否かをネットワークデバイスがさらに判断してもよい。上記の内容から、領域識別子項目が空である場合、領域識別子を含む認証エントリ中のASペアがすべての領域内で同じ取引関係を持つことが分かる。
したがって、領域識別子項目が空である場合、第1のASペアを含む認証エントリと、第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含むとネットワークデバイスが判断する、すなわち、第1のASペアが検証に成功したとネットワークデバイスが判断する。
可能な実装では、領域識別子項目が空でない場合、予め設定された規則にしたがって、領域識別子項目中の領域識別子に対応する地理的領域をネットワークデバイスが決定し、当該地理的領域が第1の領域情報によって示される地理的領域と同じか否かをさらに判断してもよい。
当該地理的領域が第1の領域情報によって示される地理的領域と同じである場合、第1のASペアを含む認証エントリと、第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含むとネットワークデバイスが判断する。当該地理的領域が第1の領域情報によって示される地理的領域とは異なる場合、第1のASペアを含む認証エントリと、第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含まないとネットワークデバイスが判断する、すなわち、第1のASペアの検証に失敗したと判断する。
別の可能な実装では、領域識別子項目が空でない場合、予め設定された規則にしたがって予め決定されかつ第1の領域情報に対応する第1の領域識別子に基づいて、第1の認証エントリサブデータベースにおいて第1のASペアを含む認証エントリ中の領域識別子項目中の領域識別子が第1の領域識別子であるか否かをネットワークデバイスがさらに判断してもよい。
当該領域識別子項目中の領域識別子が第1の領域識別子である場合、第1のASペアを含む認証エントリと第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含むとネットワークデバイスが判断する。当該領域識別子項目中の領域識別子が第1の領域識別子ではない場合、第1のASペアを含む認証エントリと第1の領域情報に対応する領域識別子とを第1の認証エントリサブデータベースが含まないとネットワークデバイスが判断する、すなわち、第1のASペアの検証に失敗したとネットワークデバイスが判断する。
第1のASペアの検証に失敗した場合、第1の領域情報及び第2の認証エントリデータベースに基づいて第1のASペアをネットワークデバイスが検証し直してもよい。
具体的には、取得された経路情報中のプリフィックス中のIPアドレスセグメントがIPv4アドレスセグメントであるとき、第1の領域情報と第2の認証エントリデータベース中の第3の認証エントリサブデータベースとに基づいて第1のASペアをネットワークデバイスが検証してもよい。
第1の領域情報と第3の認証エントリサブデータベースとに基づいて第1のASペアをネットワークデバイスが検証するプロセスについては、第1の領域情報と第1の認証エントリサブデータベースとに基づいて第1のASペアをネットワークデバイスが検証するプロセスの上記の説明を参照されたい。ここでは詳細は再度説明されない。
別の可能な実装では、第1の領域情報と第3の認証エントリデータベースとに基づいて第1のASペアをネットワークデバイスが検証してもよい。第3の認証エントリデータベースは第1の認証エントリデータベースと第2の認証エントリデータベースとを組み合せることによって取得される認証エントリデータベースである。
第3の認証エントリデータベースは第5の認証エントリサブデータベースと第6の認証エントリサブデータベースとを含むと理解されることができる。第5の認証エントリサブデータベースのいずれかの認証エントリのいずれかのASペアについて、当該いずれかのASペアによって特定されるASのペアによって用いられるIPアドレスがIPv4 IPアドレスである。
任意選択で、第5の認証エントリサブデータベースは第1の認証エントリサブデータベースと第3の認証エントリサブデータベースとを組み合せることによって取得されてもよい。ここではこれは限定されない。
第6の認証エントリサブデータベースのいずれかの認証エントリのいずれかのASペアについて、当該いずれかのASペアによって特定されるASのペアによって用いられるIPアドレスがIPv6 IPアドレスである。
任意選択で、第6の認証エントリサブデータベースは第2の認証エントリサブデータベースと第4の認証エントリサブデータベースとを組み合せることによって取得されてもよい。ここではこれは限定されない。
したがって、取得された経路情報中のプリフィックス中のIPアドレスセグメントがIPv4アドレスセグメントであるとき、第1の領域情報と第3の認証エントリデータベース中の第5の認証エントリサブデータベースとに基づいて第1のASペアをネットワークデバイスが検証してもよい。
第1の領域情報と第5の認証エントリサブデータベースとに基づいて第1のASペアをネットワークデバイスが検証するプロセスについては、第1の領域情報と第1の認証エントリサブデータベースとに基づいて第1のASペアをネットワークデバイスが検証するプロセスの上記の説明を参照されたい。ここでは詳細は再度説明されない。
S104:取得された経路情報中のすべてのASペアをネットワークデバイスが順番に検証して経路情報によって示されるAS経路を検証する。
具体的には、取得された経路情報中のすべてのASペアをネットワークデバイスが順番に検証して、上記で説明されているバレーフリー原理にしたがって、経路情報によって示されるAS経路の有効性を検証してもよい。
バレーフリー原理の説明については、上記の説明を参照されたい。ここでは詳細は再度説明されない。
上記の説明から、経路情報に含まれる少なくとも1つのASペアが第1の予め設定された順序で配置され、第1の予め設定された順序は経路情報によって示されるAS経路を通過されるASの順序に対応することが分かる。
したがって、取得された経路情報中のすべてのASペアを第1の予め設定された順序でネットワークデバイスが順番に検証して、上記で説明されているバレーフリー原理にしたがって、経路情報によって示されるAS経路の有効性を検証してもよい。
一例において、図1を参照して、説明のための例として、経路情報が図1に示されているAS経路1の経路情報であるものが用いられる。
AS経路1(ASN 5,ASN 4,ASN 3,ASN 2,ASN 1)について、AS経路1中の始点ASを含むASペアから始まるAS経路1の経路情報中のすべてのASペアをネットワークデバイスが順番に検証してもよい。具体的には、ASN 1:ASN 2→ASN 2:ASN 3→ASN 3:ASN 4→ASN 4:ASN 5の順序でAS経路1の経路情報中のすべてのASペアをネットワークデバイスが検証してもよい。
もちろん、その代わりに、AS経路1中の終点ASを含むASペアから始まるAS経路1の経路情報中のすべてのASペアをネットワークデバイスが順番に検証してもよい。具体的には、ASN 4:ASN 5→ASN 3:ASN 4→ASN 2:ASN 3→ASN 1:ASN 2の順序でAS経路1の経路情報中のすべてのASペアをネットワークデバイスが検証してもよい。ここではこれは限定されない。
経路情報中の各ASペアが上記で説明されているバレーフリー原理と、C2P ASペアのみを含む認証エントリデータベースとにしたがって検証される場合において、検証に失敗した多くとも1つのASペアを経路情報が含むとき、経路情報によって示されるAS経路が検証に成功した、言い換えると、AS経路が有効であると判断されてもよいことは理解されるべきである。検証に失敗した少なくとも2つのASペアを経路情報が含む場合、経路情報によって示されるAS経路の検証に失敗した、言い換えると、AS経路が無効であると判断されてもよい。
経路情報中のASペアの検証に最初に失敗したときに、経路情報中で検証されていないASペアをネットワークデバイスが反転させてもよいことが理解されるべきである。検証されていない、いずれかのASペアについて、ネットワークデバイスがASペアの2つのAS番号を交換して、ASペアを反転させてもよい。このようにして、ASペア間の取引関係が反転されることができる。
たとえば、C2P関係を持つASペアASN 1:ASN 2について、ASペアのAS番号が交換された後、反転したASペアASN 2:ASN 1が得られ、反転したASペアの取引関係はP2C関係である。
このようにして、C2P ASペアのみを含む認証エントリデータベースに基づいて経路情報中のP2C ASペアをネットワークデバイスが検証することができる。P2C ASペアが反転された後にC2P ASペアが得られることが理解される。
一例において、図1を参照して、説明のための例として、経路情報が図1に示されているAS経路1の経路情報であり、ASN 1:ASN 2→ASN 2:ASN 3→ASN 3:ASN 4→ASN 4:ASN 5の順序でAS経路1の経路情報中のすべてのASペアをネットワークデバイスが検証するものが用いられる。
S102及びS103で説明されている方法に基づいてAS経路1の経路情報中のすべてのASペアをネットワークデバイスが順番に検証してもよい。ネットワークデバイスがASペアASN 1:ASN 2及びASN 2:ASN 3の検証に成功する一方で、ASペアASN 3:ASN 4の検証に失敗する。言い換えると、ネットワークデバイスがAS経路1の検証中にASペアの検証に最初に失敗する。
この場合、AS経路1の経路情報中で検証されていないASペアASN 4:ASN 5をネットワークデバイスが反転させてもよい、すなわち、ASペアASN 4:ASN 5をASN 5:ASN 4に反転させてもよい。その後、S102及びS103で説明されている方法を用いてASペアASN 5:ASN 4をネットワークデバイスが引き続き検証する。
ASペアASN 5:ASN 4が検証に成功した場合、このことは、検証に失敗した1つのASペア(すなわち、検証に失敗したASペアASN 3:ASN 4)をAS経路1の経路情報が含むことを示す。この場合、AS経路1が検証に成功した、言い換えると、AS経路1が有効であると考えられる。ASペアASN 5:ASN 4の検証に失敗した場合、このことは、検証に失敗した2つのASペア(具体的には、検証に失敗したASペアASN 3:ASN 4及びASN 4:ASN 5(すなわちASN 5:ASN 4))をAS経路1の経路情報が含むことを示す。この場合、AS経路1の検証に失敗した、言い換えると、AS経路1が無効であるとみなされる。
S105(任意選択):経路情報によって示されるAS経路の検証結果を対象デバイスにネットワークデバイスが送信する。
対象デバイスはネットワークデバイスが属しかつ通信のためにネットワークデバイスに接続されるAS(本出願の実施形態の第1のASに対応する)中にあるデバイスであってもよい。対象デバイスは内部BGP(internal/interior BGP,IBGP)を実行することによってネットワークデバイスとBGPルーティング情報を交換してもよい。ここでは詳細は説明されない。
経路情報によって示されるAS経路の検証を完了した後、ネットワークデバイスが対象デバイスに経路情報と検証結果とを送信してもよい。
これに応じて、対象デバイスは経路情報と検証結果とを受信してもよい。したがって、経路情報を含むBGP更新メッセージを受信した後、対象デバイスは経路情報を検証せずに検証結果に基づいて経路情報を処理することができる。これにより、対象デバイスの使用リソースを削減し、対象デバイスの効率を改善する。
S106(任意選択):経路情報に基づいて転送エントリをネットワークデバイスが生成する。
経路情報によって示されるAS経路の検証にネットワークデバイスが成功したとき、このことは、経路情報に一切ルートリークが生じない、言い換えると、経路情報によって示されるAS経路が有効であることを示す。
この場合、経路情報に基づいて第1の転送エントリをネットワークデバイスが生成し、優先度の最も高い転送エントリとして第1の転送エントリを用いてメッセージを転送してもよい。
経路情報によって示されるAS経路の検証にネットワークデバイスが失敗したとき、このことは、経路情報にルートリークが生じるおそれがある、言い換えると、経路情報によって示されるAS経路が無効であることを示す。
この場合、経路情報に基づいて第2の転送エントリをネットワークデバイスが生成して、第2の転送エントリについての特定の情報にマーキングしてもよい。当該特定の情報は、第2の転送エントリがリスクの高い転送エントリであるのか、または優先度の低い転送エントリであるのかを示すのに用いられる。
転送エントリ中のルーティング情報を漏洩する可能性を示すのに転送エントリのリスクレベル又は優先度レベルが用いられてもよい。たとえば、リスクレベルの高い転送エントリ(すなわちリスクの高い転送エントリ)又は優先度レベルの低い転送エントリ(すなわち優先度の低い転送エントリ)については、転送エントリ中のルーティング情報を漏洩する可能性が高い。言い換えると、転送エントリ中のルーティング情報が漏洩し易い。
したがって、転送エントリのリスクレベル又は優先度レベルに基づいて、メッセージを転送するのに用いられる転送エントリをネットワークデバイスが決定することができる。通常、メッセージを転送するには安全なエントリをネットワークデバイスが選択する。転送エントリの候補に安全な転送エントリが一切ないとき、メッセージを転送するのにリスクの低い転送エントリ又は優先度の高い転送エントリをネットワークデバイスが選択してもよい。
上記では、本出願の本実施形態で提供されているASペア検証方法を説明している。本方法では、AS経路の検証の際に経路情報中のASペアが誤って判断されるために、経路情報によって示されるAS経路が誤って判断されることを効果的に回避することができ、AS経路を検証する正確さを効果的に改善することができる。
以下、本出願の実施形態で提供されている第1の認証エントリデータベースを生成する方法と第2の認証エントリデータベースを生成する方法とを説明する。
図6は本出願の実施形態に係る第1の認証エントリデータベースを生成する方法の概略フローチャートである。本方法は図4に示されている検証システム40に適用されてもよい。本方法は以下のステップを含んでもよい。
S201:サーバがASPA認証情報を取得する。
サーバはRPKIキャッシュサーバであってもよい。ここではこれは限定されない。
ASPA認証情報は予め設定された取引関係を持つASペアと、ASペアが属する領域の領域識別子とを含む。
ここでは、予め設定された取引関係を持つASペアの説明については、予め設定された取引関係を持つASペアの上記の説明を参照されたい。ここでは詳細は再度説明されない。
領域識別子は地理的領域を一義的に特定するのに用いられてもよい。したがって、ASペアが属する領域の領域識別子は、ASペアが位置する地理的領域を一義的に特定するのに用いられる。本出願の本実施形態では地理的領域のエリアは特定のものに限定されない。
たとえば、地理的領域は大陸単位で分けることによって得られる地理的領域であってもよいし、国単位で分けることによって得られる地理的領域であってもよいし、行政区単位で分けることによって得られる地理的領域であってもよい。ここではこれは限定されない。
異なる地理的領域について、地理的領域に対応する領域識別子として固有のアイデンティティドキュメント(identity document,ID)が用いられてもよい。異なる地理的領域を特定するのに用いられるIDは予め設定された規則にしたがって決定されてもよい。本出願の本実施形態では予め設定された規則は特定のものに限定されない。
任意選択で、予め設定された規則は予め定められたIDを用いて異なる地理的領域を特定するものであってもよい。
たとえば、予め定められたID 1を用いて地理的領域1が特定されてもよく、予め定められたID 2を用いて地理的領域2が特定されてもよい。ここでは詳細は説明されない。
任意選択で、その代わりに、予め設定された規則は、予め設定されたコード化規則にしたがって決定されるIDを用いて異なる地理的領域を特定することであってもよい。本出願の本実施形態では予め設定されたコード化規則は特定のものに限定されない。
たとえば、大陸単位で分けることによって得られる地理的領域を特定するのに用いられるIDが、コード化規則にしたがって昇順で5ビットの二進数をコード化することによって取得されてもよい。
表6に示されているように、アフリカに対応する領域識別子が00001(すなわち、1)であってもよく、オセアニアに対応する領域識別子が00010(すなわち、2)であってもよく、アジアに対応する領域識別子が00011(すなわち、3)であってもよく、南極に対応する領域識別子が00100(すなわち、4)であってもよく、ヨーロッパに対応する領域識別子が00101(すなわち、5)であってもよく、中南米/カリブ諸島に対応する領域識別子が00110(すなわち、6)であってもよく、北米に対応する領域識別子が00111(すなわち、7)であってもよく、予約領域に対応する領域識別子が01000~11111(すなわち、8~31)の範囲であってもよい。
詳細が表6に示される。
Figure 0007309828000006
可能な実装では、ASPA認証情報をトラストアンカーからサーバが取得してもよい。
具体的には、トラストアンカーの機能はコンピューティング処理能力を持つ任意のコンピュータデバイスによって実施されてもよい。本出願の本実施形態では、トラストアンカーの機能を実施するデバイスの具体的な形式は限定されない。
トラストアンカーはRIRのトラストアンカーであってもよい。たとえば、Asia-Pacific RIRについて、トラストアンカーはトラストアンカー1であってもよい。別の例では、American RIRについて、トラストアンカーはトラストアンカー2であってもよい。ここでは詳細は説明されない。
具体的には、AS番号を有するユーザ(省略形としてASユーザと略称される)が、ASユーザが位置する領域に対応するRIRのトラストアンカーにASユーザのASPA情報を報告してもよい。このようにして、ASユーザのASPA認証情報をRIRのトラストアンカーが取得することができる。
任意選択で、ASユーザが位置する領域に対応するRIRウェブサイト上でASPA情報をASユーザが登録してもよく、これにより、RIRのトラストアンカーがASPA情報に基づいてASPA認証情報を決定する。
上記の説明から、認証エントリデータベースがC2P ASペアのみを含んでもよいことが分かる。したがって、ASユーザが位置する領域に対応するRIRウェブサイト上でASPA情報をASユーザが登録する場合、ASユーザが位置する領域に対応するRIRウェブサイト上でASPA情報を登録することを要するのは顧客となっているASユーザだけである。
以下、ASユーザが位置する領域に対応するRIRウェブサイト上でASPA情報を顧客となっているASユーザが登録する例を用いて説明を行なう。
たとえば、図7(a)及び図7(b)はRIRウェブサイト上でASPA情報をASユーザが登録することについての概略図である。
図7(a)に示されているように、まずASユーザがディスプレイ70上のRIRウェブサイトログインインタフェースを通じて予め登録されているアカウント及びパスワードを用いてRIRウェブサイトにログインしてもよい。
その後、ディスプレイ70に表示されているRIRウェブサイトの「取引関係を登録する」インタフェース701において、ASユーザが「customer AS」ボックスに顧客としての役割を果たすASのAS番号を入力し、「provider AS」ボックスに顧客ASのプロバイダとしての役割を果たすASのAS番号を入力し、「地理的領域」ボックスに、顧客ASのAS番号とプロバイダASのAS番号とを含むASペアが位置する地理的領域を入力してもよい。
「customer AS」ボックスには1つしかAS番号が入らない一方で、「provider AS」ボックスには複数のAS番号が入ってもよいことが理解されるべきである。言い換えると、1つの顧客ASが複数のプロバイダASに対応してもよい。ここではこれは限定されない。
その後、ASユーザがインタフェース701内の「登録」ボタンをタップしてインタフェース「701」に入力されたASPA情報をRIRに送信する。
このようにして、ASユーザによって送信されたASPA情報をRIRのトラストアンカーが受信して、ASPA情報に基づいて少なくとも1つのC2P ASペアを決定することができる。RIRのトラストアンカーは少なくとも1つのC2P ASペアが位置する地理的領域に基づき、かつ上記の予め設定された規則にしたがって、少なくとも1つのC2P ASペアが属する領域の領域識別子をさらに決定してもよい。このようにして、RIRのトラストアンカーはASユーザによって送信されたASPA情報に基づいてASユーザのASPA認証情報を取得する。
図7(a)で説明されている例に基づけば、ASユーザがASユーザのASPA情報をRIRウェブサイト上で登録することができる、すなわち、図7(a)の「customer AS」ボックスにASユーザのAS番号を入力することができることが分かる。その代わりに、別のASユーザの既知のASPA情報がRIRウェブサイト上で登録されてもよい。具体的には、別のASのAS番号が図7(a)の「customer AS」ボックスに入力される。ここではこれは限定されない。
図7(b)に示されているように、ディスプレイ70に表示されているRIRウェブサイトの「取引関係を登録する」インタフェース701は「provider AS」ボックスのみを含む。この場合、プロバイダASの顧客としての役割を果たすASはデフォルトのASPA情報を入力したASユーザである。
ASユーザがディスプレイ70上のRIRウェブサイトログインインタフェースを通じて予め登録されているアカウント及びパスワードを用いてRIRウェブサイトにログインしてもよい。ディスプレイ70に「取引関係を登録する」インタフェース701が表示された後、ASユーザが「provider AS」ボックスにASユーザのプロバイダとしての役割を果たすASのAS番号を入力し、「地理的領域」ボックスに、プロバイダASのAS番号とASユーザのAS番号とを含むASペアが位置する地理的領域を入力してもよい。
「provider AS」ボックスには複数のAS番号が入ってもよいことが理解されるべきである。ここでは詳細は説明されない。
その後、ASユーザがインタフェース701内の「登録」ボタンをタップしてインタフェース「701」に入力されたASPA情報をRIRに送信する。
このようにして、ASユーザによって送信されたASPA情報をRIRのトラストアンカーが受信して、ASPA情報に基づいて少なくとも1つのC2P ASペアを決定することができる。RIRのトラストアンカーは少なくとも1つのC2P ASペアが位置する地理的領域に基づき、かつ上記の予め設定された規則にしたがって、少なくとも1つのC2P ASペアが属する領域の領域識別子をさらに決定してもよい。このようにして、RIRのトラストアンカーはASユーザによって送信されたASPA情報に基づいてASユーザのASPA認証情報を取得する。
図7(b)で説明されている例に基づけば、ASユーザがASユーザのASPA情報をRIRウェブサイト上で登録することができることが分かる。
このようにして、1以上のASユーザによって登録された複数のASPA情報に基づいてRIRのトラストアンカーが複数のASPA認証情報を決定してもよい。
その後、RIRのトラストアンカーが、決定されたASPA認証情報をサーバに暗号化形態または暗号化しない形態で送信してもよい。
任意選択で、RIRのトラストアンカーがASPA認証情報の取得についてのサーバの要求を受信すると、決定されたASPA認証情報をサーバに暗号化形態または暗号化しない形態で送信してもよい。
任意選択で、RIRのトラストアンカーが、決定されたASPA認証情報をサーバに暗号化形態または暗号化しない形態で能動的に送信してもよい。
任意選択で、RIRのトラストアンカーが、決定されたASPA認証情報をサーバに暗号化形態または暗号化しない形態で予め設定された期間に基づいて能動的に送信してもよい。ここではこれは限定されない。
これに応じて、RIRのトラストアンカーによって送信されたASPA認証情報をサーバが受信する、すなわち、ASPA認証情報を取得する。
別の可能な実装では、ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて決定された少なくとも1つのASPA認証情報をサーバが取得する。
任意選択で、ネットワークデバイスによって送信された少なくとも1つのASPA認証情報をサーバが受信してもよい。少なくとも1つのASPA認証情報はネットワーク上で公開されていて、ネットワークから取得されるネットワークルーティングテーブル及び/又はネットワークデータに基づいてネットワークデバイスによって決定される少なくとも1つのASPA認証情報であってもよい。
ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータは予め設定された取引関係を持つASペアとASペアが属する領域の領域情報とを含む。このようにして、ネットワークルーティングテーブル及び/又はネットワークデータに基づいて少なくとも1つのASPA認証情報をネットワークデバイスが決定することができる。
たとえば、ネットワークルーティングテーブル及び/又はネットワークデータ中の少なくとも1つのASペアをルート処理ツールを用いてネットワークデバイスが抽出して、少なくとも1つのASペア間の取引関係を解析してもよい。その後、少なくとも1つのASペアから、予め設定された取引関係を持つ少なくとも1つのASペアをネットワークデバイスが決定してもよい。
その後、ネットワークルーティングテーブル及び/又はネットワークデータのコンテキストやプリフィックスに基づいて、予め設定された取引関係を持つ少なくとも1つのASペアの地理的位置の領域情報をネットワークデバイスが決定してもよい。もちろん、ネットワークルーティングテーブル及び/又はネットワークデータも予め設定された取引関係を持つ少なくとも1つのASペアに対応する領域情報を含んでもよい。ここではこれは限定されない。
その後、予め設定された取引関係を持つ少なくとも1つのASペアに対応する領域情報に基づき、かつ上記の予め設定された規則にしたがって、予め設定された取引関係を持つ少なくとも1つのASペアに対応する領域識別子をネットワークデバイスが決定してもよい。このようにして、ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて少なくとも1つのASPA認証情報をネットワークデバイスが決定する。
任意選択で、ネットワークから、ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータをサーバが直接取得して、少なくとも1つのASPA認証情報を決定することをさらに行なってもよい。
ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて少なくとも1つのASPA認証情報をサーバが決定するプロセスについては、ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて少なくとも1つのASPA認証情報をネットワークデバイスによって決定することについての上記の説明を参照されたい。ここでは詳細は再度説明されない。
S202:ASPA認証情報をサーバがネットワークデバイスに送信する。
ネットワークデバイスは上記のASペア検証方法を実行するネットワークデバイスであってもよいし、コンピューティング処理能力を持つその他一切のネットワークデバイスであってもよい。ここではこれは限定されない。
任意選択で、まず、取得された少なくとも1つのASPA認証情報に基づいて少なくとも1つのプロトコルデータユニット(protocol data unit,PDU)メッセージをサーバが生成してもよい。その後、少なくとも1つのPDUメッセージをサーバがネットワークデバイスに送信する。
1つのASPA認証情報が1つのPDUメッセージに対応することが理解されるべきである。さらにいえば、1つのPDUメッセージが、予め設定された取引関係を持つ少なくとも1つのASペアを含み、また、1つのPDUメッセージは、予め設定された取引関係を持つ少なくとも1つのASペアが属する領域の領域識別子を含む。ここでは、予め設定された取引関係を持つASペアの説明については、予め設定された取引関係を持つASペアの上記の説明を参照されたい。ここでは詳細は再度説明されない。
たとえば、予め設定された取引関係はC2P関係である。この場合、1つのPDUメッセージが、顧客としての役割を果たす1つのASの1つのAS番号と、プロバイダとしての役割を果たす少なくとも1つのASの少なくとも1つのAS番号と、顧客AS番号と少なくとも1つのプロバイダAS番号とを含む少なくとも1つのC2P ASペアが属する領域の領域識別子とを含む。
以下、本出願の本実施形態で提供されているPDUメッセージのフォーマットの例を示す。
図8は本出願の実施形態に係るPDUメッセージの概略図である。
図8に示されているように、プロトコルバージョン(Protocol Version)フィールドはサーバとネットワークデバイスとの間で用いられる通信プロトコルのバージョン番号を示すのに用いられ、通常は1バイト分、すなわち8ビット分を占める。
たとえば、サーバとネットワークデバイスとの間で実行される通信プロトコルのバージョン番号が2.0である場合、このフィールドの値は2、すなわち00000010である。
PDUタイプフィールド(PDU type)はPDUタイプを示すのに用いられ、通常は1バイト分、すなわち8ビット分を占める。たとえば、PDUタイプの値が11である場合、このフィールドの値は11、すなわち00001011である。
パディング(ゼロ)フィールドはPDUメッセージに、4バイト整列を行なうのに用いられ、4バイト整列はビット数が32で割り切れることを意味する。ここでは詳細は説明されない。
図8に示されているように、PDUメッセージは2つのゼロフィールドを含み、第1のゼロフィールドは2バイト分、すなわち16ビット分を占める。第2のゼロフィールドは1バイト分、すなわち8ビット分を占める。
長さ(length)フィールドはPDUメッセージの長さを示すのに用いられ、通常は4バイト分、すなわち32ビット分を占める。
フラグ(flags)フィールドは通常は1バイト分、すなわち8ビット分を占める。このフィールドのビットによって異なる内容を特定してもよい。
たとえば、フィールドの先頭ビットが、PDUメッセージで搬送されるASペアがアドバタイズされる必要があるか否かを示すのに用いられてもよい。たとえば、第1のビットが0である場合には、このことはPDUメッセージで搬送されるASペアがアドバタイズされることになっていることを示し、第1のビットが1である場合には、このことはPDUメッセージで搬送されるASペアが撤回されることになっていることを示す。
フィールドの2番目のビットが、PDUメッセージで搬送されるいずれかのASペアによって示されるASのペアによって用いられるIPバージョンを示すのに用いられてもよい。たとえば、2番目のビットが0である場合には、このことはPDUメッセージで搬送されるいずれかのASペアによって示されるASのペアについてIPv4 IPアドレスを用いることを示し、2番目のビットが1である場合には、このことはPDUメッセージで搬送されるいずれかのASペアによって示されるASのペアについてIPv6 IPアドレスを用いることを示す。
この場合にはフィールド中の残りの6ビットが保留されることが理解されるべきである。
プロバイダASカウント(provider AS count)フィールドは、PDUメッセージで搬送されるASペア中にあってプロバイダとしての役割を果たすASの個数を示すのに用いられ、通常は2バイト分、すなわち16ビット分を占める。
顧客AS番号(customer autonomous system number)フィールドは、PDUメッセージで搬送されるASペア中にあって顧客としての役割を果たすASのAS番号を示すのに用いられ、通常は4バイト分、すなわち32ビット分を占める。
プロバイダAS番号(provider autonomous system number)フィールドは、PDUメッセージで搬送されるASペア中にあってプロバイダとしての役割を果たすASのAS番号を示すのに用いられ、通常は4バイト分、すなわち32ビット分を占める。
本フィールドはプロバイダとしての役割を果たす複数のASのAS番号を含んでもよく、具体的な個数はプロバイダASカウントフィールドで示されている個数であることが理解されるべきである。
領域識別子(region identifier)フィールドはPDUメッセージで搬送されるC2P ASペアが属する領域の領域識別子を示すのに用いられる。図8に示されているように、本フィールドは4バイト長、すなわち32ビット長を占めてもよい。
領域識別子フィールドの実際の長さが、地理的領域に対応する領域識別子を決定するために上記の予め設定された規則に関係することが理解されるべきである。たとえば、領域識別子を符号化するのに5ビットの二進数が用いられる場合、領域識別子の実際の長さは5ビットである。
同じ顧客AS番号を含む複数のC2P ASペアについて、複数のC2P ASペアは同じ領域に属しても、異なる領域に属してもよいと理解されることができる。同じ顧客AS番号を含む複数のC2P ASペアが異なる領域に属する場合、複数のC2P ASペアを搬送するPDUメッセージの個数は、複数のC2P ASペアが属する領域の個数と同じである。
たとえば、ASN 1:ASN 2,ASN 1:ASN 3,ASN 1:ASN 4,ASN 1:ASN 5及びASN 1:ASN 6の5つのC2P ASペアについて、C2P ASペアASN 1:ASN 2,ASN 1:ASN 3及びASN 1:ASN 4が、対応する領域識別子1が付与された領域1に属し、C2P ASペアASN 1:ASN 5及びASN 1:ASN 6が、対応する領域識別子2が付与された領域2に属する。言い換えると、5つのC2P ASペアが属する領域の個数は2である。
この場合、2つのPDUメッセージを用いて5つのC2P ASと、対応する領域識別子とをサーバが送信してもよい。たとえば、PDU 1がC2P ASペアASN 1:ASN 2,ASN 1:ASN 3及びASN 1:ASN 4と領域識別子1とを搬送し、PDU 2がC2P ASペアASN 1:ASN 5及びASN 1:ASN 6と領域識別子2とを搬送する。
S203:ASPA認証情報をネットワークデバイスが取得し、ASPA認証情報に基づいて第1の認証エントリデータベースを生成する。
任意選択で、サーバによって送信された少なくとも1つのPDUメッセージをネットワークデバイスが受信した後、少なくとも1つのPDUメッセージからASPA認証情報を取得してもよい。
その後、ネットワークデバイスは取得されたASPA認証情報に基づいて第1の認証エントリデータベースを生成してもよい。
PDUメッセージで搬送されるいずれかのASペアによって示されるASのペアによって用いられるIPアドレスがIPv4 IPアドレスであることをPDUメッセージのフラグフィールドが示すとき、PDUメッセージからネットワークデバイスによって取得されるASPA認証情報が第1の認証エントリデータベース中に第1の認証エントリサブデータベースを生成するのに用いられることが理解される。
同様に、PDUメッセージで搬送されるいずれかのASペアによって示されるASのペアによって用いられるIPアドレスがIPv6 IPアドレスであることをPDUメッセージのフラグフィールドが示すとき、PDUメッセージからネットワークデバイスによって取得されるASPA認証情報が第1の認証エントリデータベース中に第2の認証エントリサブデータベースを生成するのに用いられる。
第1の認証エントリデータベースの詳細な説明については、認証エントリデータベースの上記の説明を参照されたい。ここでは詳細は再度説明されない。
ネットワークデバイスによって取得されるASPA認証情報がネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて決定されるASPA認証情報を含む場合、本出願の本実施形態の認証エントリデータベースは第2の認証エントリデータベースを含むことはないと理解されることができる。言い換えると、第1の認証エントリデータベースは本出願の本実施形態で説明されている認証エントリデータベースである。
図9は本出願の実施形態に係る第2の認証エントリデータベースを生成する方法の概略フローチャートである。本方法は図4に示されている検証システム40に適用されてもよい。本方法は以下のステップを含んでもよい。
S301:ネットワークデバイスがASPA認証情報を取得する。
任意選択で、まずネットワークデバイスがネットワークから、ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータを取得し、その後、取得されたネットワークルーティングテーブル及び/又はネットワークデータに基づいて少なくとも1つのASPA認証情報を決定してもよい。
ネットワーク上で公開されているネットワークルーティングテーブル及び/又はネットワークデータに基づいて少なくとも1つのASPA認証情報をネットワークデバイスによって決定することについての説明については、S201の上記の関連説明を参照されたい。ここでは詳細は再度説明されない。
S302:取得されたASPA認証情報に基づいて第2の認証エントリデータベースをネットワークデバイスが生成する。
具体的には、取得された少なくとも1つのASPA認証情報に基づいて第2の認証エントリデータベースをネットワークデバイスが生成する。
少なくとも1つのASPA認証情報のうちの第1のASPA認証情報について、第1のASPA認証情報中のいずれかのASペアによって示されるASのペアによって用いられるIPアドレスがIPv4 IPアドレスであるとき、第2の認証エントリデータベース中に第3の認証エントリサブデータベースを生成するのに第1のASPA認証情報が用いられる。
同様に、第1のASPA認証情報中のいずれかのASペアによって示されるASのペアによって用いられるIPアドレスがIPv6 IPアドレスであるとき、第2の認証エントリデータベース中に第4の認証エントリサブデータベースを生成するのに第1のASPA認証情報が用いられる。
第2の認証エントリデータベースの説明については、認証エントリデータベースの上記の説明を参照されたい。ここでは詳細は再度説明されない。
まとめると、本出願の実施形態ではASペア検証方法を提供する。本方法では、ASペアを検証するのに用いられる認証エントリデータベースに、各々のASペアが属する領域の領域識別子が加えられる。これにより、AS経路の有効性がバレーフリー原理にしたがって検証されるときに経路情報中のASペア間の取引関係が誤って判断されるために、BGPルーティング情報中の経路情報によって示されるAS経路の有効性が誤って判断されることを避けることができる。したがって、本出願の本実施形態で提供されているASペア検証方法により、ASペアを含む経路情報によって示されるAS経路を検証する正確さを改善する。
上記では本出願の実施形態で提供されている解決手段を主に方法の観点から説明している。上記の機能を実施するために、機能を実行する対応するハードウェア構成及び/又はソフトウェアモジュールが含まれる。本明細書に開示されている実施形態で説明されている例におけるユニット及びアルゴリズムステップと考え合わせれば、本出願がハードウェア又はハードウェアとコンピュータソフトウェアとの組み合わせによって実施されることが可能であることに当業者は容易に想到するべきである。機能がハードウェアによって実行されるのか、コンピュータソフトウェアによって駆動されるハードウェアによって実行されるのかは、具体的な用途と技術的解決手段の設計上の制約とに依存する。当業者は説明されている機能を実施するのに具体的な用途毎に異なる方法を用い得るが、この実施が本出願の範囲を越えるとみなされるべきでない。
本出願の実施形態では、ASペア検証装置が上記の方法例に基づいて機能モジュールに区分されてもよい。たとえば、各機能モジュールは対応する各機能に基づいて区分することにより得られてもよいし、2つ以上の機能が1つの処理モジュールに組み込まれてもよい。当該組み込まれたモジュールはハードウェアの形式で実施されてもよいし、ソフトウェア機能モジュールの形式で実施されてもよい。本出願の実施形態では、モジュールへの区分は一例であって論理的機能の区分にすぎず、実際に実施する際には他の区分であってもよい点が留意されるべきである。
図10に示されているように、図10は本出願の実施形態に係るASペア検証装置100の構成の概略図である。装置100はネットワークデバイスに適用されてもよく、上記のASペア検証方法を実行するように構成され、たとえば、図5に示されている方法を実行するように構成されている。装置100は取得ユニット101と処理ユニット102とを含んでもよい。
取得ユニット101は、経路情報を取得するように構成され、経路情報がASペアを含み、経路情報中のASペアが経路情報中の隣接する2つのAS番号を含む。処理ユニット102はASペアが属する領域の領域情報を決定して、ASペアが属する領域の領域情報に基づいてASペアを検証するように構成されている。
一例では、図5を参照して、取得ユニット101はS101を実行するように構成されてもよく、処理ユニット102はS102及びS103を実行するように構成されてもよい。
任意選択で、処理ユニット102は、具体的には、ASペアが属する領域の決定された領域情報と認証エントリデータベースとに基づいてASペアを検証するように構成されている。
一例では、図5を参照して、処理ユニット102はS103を実行するように構成されてもよい。
任意選択で、処理ユニット102は、具体的には、ASペアを含む認証エントリと、ASペアが属する領域の領域情報に対応する領域識別子とを認証エントリデータベースが含むときに、ASペアが検証に成功したと判断するように構成されている。
一例では、図5を参照して、処理ユニット102はS103を実行するように構成されてもよい。
任意選択で、処理ユニット102は、具体的には、ASペアを含む認証エントリと、ASペアが属する領域の領域情報に対応する領域識別子とを認証エントリデータベースが含まないときに、ASペアの検証に失敗したと判断するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS103を実行するように構成されてもよい。
任意選択で、処理ユニット102は、経路情報を含むルーティング情報から、ASペアが属する領域の領域情報を決定するか、またはルーティング情報中のプリフィックスに基づいて、ASペアが属する領域の領域情報を決定するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS103を実行するように構成されてもよい。
任意選択で、取得ユニット101は認証エントリデータベースを取得するようにさらに構成されている。
一例では、図6を参照して、取得ユニット101はS203を実行するように構成されてもよい。
任意選択で、認証エントリデータベースは第1の認証エントリデータベースを含む。装置100は、サーバからプロトコルデータユニット(PDU)メッセージを受信するように構成された受信ユニット103をさらに含み、PDUメッセージが予め設定された取引関係を持つASペアと、予め設定された取引関係を持つASペアが属する領域の領域識別子とを含む。処理ユニット102は受信したPDUメッセージに基づいて第1の認証エントリデータベースを生成するようにさらに構成されている。
一例では、図6を参照して、受信ユニット103及び処理ユニット102はS203を実行するように構成されてもよい。
任意選択で、認証エントリデータベースは第2の認証エントリデータベースをさらに含む。処理ユニット102はネットワークルーティングテーブル及び/又はネットワークデータに基づいて第2の認証エントリデータベースを生成するようにさらに構成されている。ネットワークルーティングテーブル及び/又はネットワークデータは予め設定された取引関係を持つASペアと、予め設定された取引関係を持つASペアが属する領域の領域情報とを含む。
一例では、図9を参照して、処理ユニット102はS302を実行するように構成されてもよい。
任意選択で、処理ユニット102は、具体的には、ASペアが属する領域の領域情報と、第1の認証エントリデータベースとに基づいてASペアを検証し、ASペアの検証に失敗した場合に、ASペアが属する領域の領域情報と、第2の認証エントリデータベースとに基づいてASペアを検証するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS103を実行するように構成されてもよい。
任意選択で、処理ユニット102は、具体的には、ASペアが属する領域の領域情報と、認証エントリデータベース中にありかつ経路情報中のプリフィックスに対応する対象認証エントリとに基づいてASペアを検証するようにさらに構成され、対象認証エントリ中のASペアのIPバージョンが経路情報中のプリフィックス中のIPバージョンと同じである。
一例では、図5を参照して、処理ユニット102はS103を実行するように構成されてもよい。
任意選択で、経路情報は予め設定された順序で配置される複数のAS番号を含み、複数のAS番号は経路情報に対応する経路を示すのに用いられる。処理ユニット102は経路情報中のすべてのASペアを順番に検証して、経路情報に対応する経路を検証するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS104を実行するように構成されてもよい。
任意選択で、処理ユニット102は、経路情報中のASペアの検証に最初に失敗したときに、経路情報中で検証されていないASペアを反転させるようにさらに構成されている。処理ユニット102は経路情報に対応する経路の検証を完遂するために、反転したASペアを検証するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS104を実行するように構成されてもよい。
任意選択で、処理ユニット102は、検証に失敗した多くとも1つのASペアを経路情報が含む場合に、経路情報に対応する経路が検証に成功したと判断するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS104を実行するように構成されてもよい。
任意選択で、処理ユニット102は経路情報に基づいて第1の転送エントリを生成するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS106を実行するように構成されてもよい。
任意選択で、処理ユニット102は、検証に失敗した少なくとも2つのASペアを経路情報が含む場合に、経路情報に対応する経路の検証に失敗したと判断するようにさらに構成されている。
一例では、図5を参照して、処理ユニット102はS104を実行するように構成されてもよい。
任意選択で、処理ユニット102は経路情報に基づいて第2の転送エントリを生成するようにさらに構成されている。処理ユニット102は、第2の転送エントリについての特定の情報にマーキングするようにさらに構成され、当該特定の情報が、第2の転送エントリがリスクの高い転送エントリであるのか、または優先度の低い転送エントリであるのかを示すのに用いられる。
一例では、図5を参照して、処理ユニット102はS106を実行するように構成されてもよい。
任意選択で、ネットワークデバイスは第1のAS中のネットワークデバイスである。装置100は、経路情報に対応する経路の検証結果を対象デバイスに送信するように構成されている送信ユニット104をさらに含む。対象デバイスは、第1のAS中にありかつ通信のためにネットワークデバイスに接続されるデバイスである。
一例では、図5を参照して、送信ユニット104はS105を実行するように構成されてもよい。
任意選択で、取得ユニット101は、具体的には、ボーダ・ゲートウェイ・プロトコル(BGP)更新メッセージを取得するように構成され、BGP更新メッセージが経路情報を含む。
一例では、図5を参照して、取得ユニット101はS101を実行するように構成されてもよい。
任意選択で、処理ユニット102は、BGP更新メッセージが受信された後に、BGP更新メッセージ中の経路情報中のASペアを検証して経路情報に対応する経路を検証するようにさらに構成されている。その代わりに、処理ユニット102は、BGP更新メッセージが送信される前に、BGP更新メッセージ中の経路情報中のASペアを検証して経路情報に対応する経路を検証するように構成されている。
一例では、図5を参照して、処理ユニット102はS103及びS104を実行するように構成されてもよい。
任意選択の手法についての具体的な説明については、方法の実施形態を参照されたい。ここでは詳細は再度説明されない。これに加えて、上記で提供されている装置100のどの説明についても、有益な効果の説明についても、上記の対応する方法の実施形態を参照されたい。ここでは詳細は再度説明されない。
一例では、図3を参照して、装置100の取得ユニット101及び処理ユニット102の機能は図3のメモリ32中のプログラムコードを実行することによって図3のプロセッサ31を用いて実施されてもよい。受信ユニット103及び送信ユニット104の機能は図3の通信インタフェース3を用いて実施されてもよい。
本出願の実施形態ではチップシステム110をさらに提供する。図11に示されているように、チップシステム110は少なくとも1つのプロセッサと少なくとも1つのインタフェース回路とを含む。
一例では、チップシステム110が1つのプロセッサと1つのインタフェース回路とを含む場合、プロセッサは図11に実線の四角で示されているプロセッサ111(又は破線の四角で示されているプロセッサ111)であってもよく、インタフェース回路は図11に実線の四角で示されているインタフェース回路112(又は破線の四角で示されているインタフェース回路112)であってもよい。
チップシステム110が2つのプロセッサと2つのインタフェース回路とを含む場合、2つのプロセッサは図11に実線の四角で示されているプロセッサ111と図11に破線の四角で示されているプロセッサ111とを含み、2つのインタフェース回路は図11に実線の四角で示されているインタフェース回路112と図11に破線の四角で示されているインタフェース回路112とを含む。ここではこれは限定されない。
プロセッサ111とインタフェース回路112とがラインを通じて互いに接続されてもよい。一例では、インタフェース回路112は信号を受信するように構成されてもよい(たとえば、ASペアが属する領域の領域情報を取得し、またはサーバからPDUメッセージを受信する)。別の例では、インタフェース回路112は別の装置(たとえばプロセッサ111)に信号を送信するように構成されてもよい。
たとえば、インタフェース回路112はメモリに記憶されている命令を読み出して命令をプロセッサ111に送信してもよい。命令がプロセッサ111によって実行されるとき、ASペア検証装置が上記の実施形態のステップを実行することが可能にされる。もちろん、チップシステム110は別の別体のデバイスをさらに含んでもよい。本出願の本実施形態ではこれは特定のものに限定されない。
本出願の別の実施形態ではコンピュータ可読記憶媒体をさらに提供する。コンピュータ可読記憶媒体は命令を記憶する。命令がASペア検証装置で実行されるとき、ASペア検証装置は上記の方法の実施形態で示されている方法手順でASペア検証装置によって実行されるステップを実行する。
いくつかの実施形態では、開示されている方法は、コンピュータ可読記憶媒体においてマシン可読フォーマットで符号化され、または別の非一時的な媒体又は製品において符号化されたコンピュータプログラム命令として実施されてもよい。
図12は本出願の実施形態に係るコンピュータプログラム製品の概念部分図を概略的に示す。コンピュータプログラム製品はコンピューティングデバイス上でコンピュータプロセスを実行するのに用いられるコンピュータプログラムを含む。
一実施形態では、コンピュータプログラム製品は信号ベアラ媒体120を用いて提供される。信号ベアラ媒体120は1つ以上のプログラム命令を含んでもよい。1つ以上のプログラム命令が1つ以上のプロセッサによって実行されるとき、図5で説明されている機能又は機能の一部が実現されてもよい。したがって、たとえば、図5のS101~S106を参照して説明されている1つ以上の特徴が信号ベアラ媒体120に関連する1つ以上の命令によって搬送されてもよい。これに加えて、図12のプログラム命令についても例示の命令として説明されている。
いくつかの例では、信号ベアラ媒体120はコンピュータ可読媒体121を含んでもよく、たとえば、ハードディスクドライブ、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、デジタルテープ、メモリ、読み出し専用メモリ(read-only memory,ROM)やランダムアクセスメモリ(random access memory,RAM)を含んでもよいが、これらに限定されない。
いくつかの実装では、信号ベアラ媒体120はコンピュータ記録可能媒体122を含んでもよく、たとえば、メモリ、読み出し/書き込み(R/W)CDやR/W DVDを含んでもよいが、これらに限定されない。
いくつかの実装では、信号ベアラ媒体120は通信媒体123を含んでもよく、たとえば、デジタル通信媒体及び/又はアナログ通信媒体(たとえば、光ファイバ、導波路、有線通信リンクや無線通信リンク)を含んでもよいが、これらに限定されない。
信号ベアラ媒体120は無線形式の通信媒体123(たとえば、IEEE 1202.11標準又は別のトランスポートプロトコルに準拠する無線通信媒体)によって伝達されてもよい。1つ以上のプログラム命令はたとえば、1つ以上のコンピュータ実行可能命令であっても1つ以上のロジック実施命令であってもよい。
いくつかの例では、図5を参照して説明されているASペア検証装置はコンピュータ可読媒体121、コンピュータ記録可能媒体122及び/又は通信媒体123中の1つ以上のプログラム命令に応じて様々な動作、機能又は対応を実現するように構成されてもよい。
本出願で説明されている配置が例として用いられるのにすぎないことが理解されるべきである。したがって、別の配置と別の要素と(たとえば、マシン、インタフェース、機能、シーケンスや機能集団)が代替として用いられることが可能であり、いくつかの要素が期待される結果に応じてまとめて省略されてもよいと当業者は考える。
これに加えて、説明されている要素の多くは、別体のまたは分散した構成要素として実施され、または別の構成要素と組み合せて任意の適切な場所で任意の適切な組み合わせで実施されてもよい機能的なエンティティである。
上記の実施形態の全部又は一部はソフトウェア、ハードウェア、ファームウェア又はこれらの任意の組み合わせを用いて実施されてもよい。実施形態を実施するのにソフトウェアプログラムが用いられる場合、実施形態の全部又は一部がコンピュータプログラム製品の形式で実施されてもよい。コンピュータプログラム製品は1つ以上のコンピュータ命令を含む。コンピュータ実行可能命令がコンピュータ上で実行されるとき、本出願の実施形態に係るプロシージャや機能の全部が生成され、または部分的に生成される。
コンピュータは汎用コンピュータであっても専用コンピュータであってもコンピュータネットワークであっても別のプログラム可能な装置であってもよい。コンピュータ命令はコンピュータ可読記憶媒体に記憶されてもよいし、コンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に渡されてもよい。たとえば、コンピュータ命令はウェブサイト、コンピュータ、サーバやデータセンタから別のウェブサイト、コンピュータ、サーバやデータセンタに有線(たとえば、同軸ケーブル、光ファイバやデジタル加入者回線(digital subscriber line,DSL))方式で渡されても無線(たとえば、赤外線、ラジオ波やマイクロ波)方式で渡されてもよい。
コンピュータ可読記憶媒体はコンピュータによってアクセス可能な任意の利用可能な媒体であってもよいし、1つ以上の利用可能な媒体を統合するデータ記憶装置、たとえば、サーバやデータセンタであってもよい。利用可能な媒体は磁気媒体(たとえば、フロッピーディスク、ハードディスクや磁気テープ)、光媒体(たとえばDVD)、半導体媒体(たとえばソリッドステートドライブ(solid-state drive,SSD))などであってもよい。
上記の説明は本発明の特定の実装にすぎないが、本発明の保護範囲を限定することを意図されたものではない。本発明で開示されている技術範囲内で当業者によって容易に想起されるいかなる変形や置換も、本発明の保護範囲内に入る。したがって、本発明の保護範囲は請求項の保護範囲にしたがうものである。
1 自律システム
2 自律システム
3 自律システム
4 自律システム
5 自律システム
6 自律システム
7 自律システム
8 自律システム
9 自律システム
10 自律システム
41 自律システム
42 自律システム
30 ネットワークデバイス
31 プロセッサ
32 メモリ
33 通信インタフェース
34 バス
40 検証システム
43 RPKIサーバ
44 トラストアンカー
70 ディスプレイ
100 ASペア検証装置
101 取得ユニット
102 処理ユニット
103 受信ユニット
104 送信ユニット
110 チップシステム
111 プロセッサ
112 インタフェース回路
120 信号ベアラ媒体
121 コンピュータ可読媒体
122 コンピュータ記録可能媒体
123 通信媒体
411 ネットワークデバイス
421 ネットワークデバイス
701 「取引関係を登録する」インタフェース

Claims (19)

  1. ネットワークデバイスに適用される自律システム(AS)ペア検証方法であって、
    経路情報を取得するステップであって、前記経路情報はASペアを備え、前記ASペアは前記経路情報中の隣接する2つのAS番号を備える、ステップと、
    前記ASペアが属する領域の領域情報を決定するステップと、
    前記領域情報に基づいて前記ASペアを検証するステップと、
    を備え
    前記ASペアが属する領域の領域情報を決定する前記ステップは、
    前記経路情報を備えるルーティング情報から、前記ASペアが属する前記領域の前記領域情報を決定するステップ、又は
    前記ルーティング情報中のプリフィックスに基づいて、前記ASペアが属する前記領域の前記領域情報を決定するステップ
    を備える方法。
  2. 前記領域情報に基づいて前記ASペアを検証する前記ステップは、
    前記領域情報と認証エントリデータベースとに基づいて前記ASペアを検証するステップを備える、請求項1に記載の方法。
  3. 前記領域情報と認証エントリデータベースとに基づいて前記ASペアを検証する前記ステップは、
    前記ASペアを備える認証エントリと、前記領域情報に対応する領域識別子とを前記認証エントリデータベースが備えるときに、前記ASペアが検証に成功したと判断するステップを備える、請求項2に記載の方法。
  4. 前記領域情報と認証エントリデータベースとに基づいて前記ASペアを検証する前記ステップは、
    前記ASペアを備える認証エントリと、前記領域情報に対応する領域識別子とを前記認証エントリデータベースが備えないときに、前記ASペアの検証に失敗したと判断するステップを備える、請求項2又は3に記載の方法。
  5. 前記領域情報と認証エントリデータベースとに基づいて前記ASペアを検証する前記ステップの前に、前記方法は、
    前記認証エントリデータベースを取得するステップをさらに備える、請求項1から4のいずれか一項に記載の方法。
  6. 前記認証エントリデータベースは第1の認証エントリデータベースを備え、前記認証エントリデータベースを取得する前記ステップは、
    サーバからプロトコルデータユニット(PDU)メッセージを受信するステップであって、前記PDUメッセージは予め設定された取引関係を持つASペアと、前記予め設定された取引関係を持つ前記ASペアが属する領域の領域識別子とを備える、ステップと、
    前記PDUメッセージに基づいて前記第1の認証エントリデータベースを生成するステップと、
    を備える、請求項5に記載の方法。
  7. 前記認証エントリデータベースは第2の認証エントリデータベースをさらに含み、前記認証エントリデータベースを取得する前記ステップは、
    ネットワークルーティングテーブル及び/又はネットワークデータに基づいて前記第2の認証エントリデータベースを生成するステップであって、
    前記ネットワークルーティングテーブル及び/又は前記ネットワークデータは前記予め設定された取引関係を持つ前記ASペアと、前記予め設定された取引関係を持つ前記ASペアが属する前記領域の領域情報とを備える、ステップを備える、請求項6に記載の方法。
  8. 前記領域情報と認証エントリデータベースとに基づいて前記ASペアを検証する前記ステップは、
    前記領域情報と前記第1の認証エントリデータベースとに基づいて前記ASペアを検証するステップと、
    前記ASペアの検証に失敗した場合に、前記領域情報と前記第2の認証エントリデータベースとに基づいて前記ASペアを検証するステップと、
    を備える、請求項7に記載の方法。
  9. 前記領域情報と認証エントリデータベースとに基づいて前記ASペアを検証する前記ステップは、
    前記領域情報と、前記認証エントリデータベース中にありかつ前記経路情報中のプリフィックスに対応する対象認証エントリとに基づいて前記ASペアを検証するステップであって、前記対象認証エントリ中のASペアのインターネットプロトコル(IP)バージョンが前記経路情報中の前記プリフィックス中のIPバージョンと同じである、ステップを備える、請求項1から8のいずれか一項に記載の方法。
  10. 前記経路情報は予め設定された順序で配置される複数のAS番号を備え、前記複数のAS番号は前記経路情報に対応する経路を示すのに用いられ、前記方法は、
    前記経路情報に対応する前記経路を検証するために前記経路情報中のすべてのASペアを順番に検証するステップをさらに備える、請求項1から9のいずれか一項に記載の方法。
  11. 前記方法は、
    前記経路情報中の前記ASペアの検証に最初に失敗したときに、前記経路情報中で検証されていないASペアを反転させるステップと、
    前記経路情報に対応する前記経路の検証を完遂するために、反転したASペアを検証するステップと、
    をさらに備える、請求項10に記載の方法。
  12. 前記方法は、
    検証に失敗した多くとも1つのASペアを前記経路情報が備える場合に、前記経路情報に対応する経路が検証に成功したと判断するステップをさらに備える、請求項1から11のいずれか一項に記載の方法。
  13. 前記方法は、
    前記経路情報に基づいて第1の転送エントリを生成するステップをさらに備える、請求項12に記載の方法。
  14. 前記方法は、
    検証に失敗した少なくとも2つのASペアを前記経路情報が備える場合に、前記経路情報に対応する経路の検証に失敗したと判断するステップをさらに備える、請求項10から13のいずれか一項に記載の方法。
  15. 前記方法は、
    前記経路情報に基づいて第2の転送エントリを生成するステップと、
    前記第2の転送エントリについての特定の情報にマーキングするステップであって、前記特定の情報は、前記第2の転送エントリがリスクの高い転送エントリであるのか、または優先度の低い転送エントリであるのかを示すのに用いられる、ステップと、
    をさらに備える、請求項14に記載の方法。
  16. 前記ネットワークデバイスは第1のAS中のネットワークデバイスであり、前記方法は、
    前記経路情報に対応する前記経路の検証結果を対象デバイスに送信するステップであって、前記対象デバイスは、前記第1のAS中にありかつ通信のために前記ネットワークデバイスに接続されるデバイスである、ステップをさらに備える、請求項10から15のいずれか一項に記載の方法。
  17. 経路情報を取得する前記ステップは、
    ボーダ・ゲートウェイ・プロトコル(BGP)更新メッセージを取得するステップであって、前記BGP更新メッセージは前記経路情報を備える、ステップを備える、請求項1から16のいずれか一項に記載の方法。
  18. 前記方法は、
    前記BGP更新メッセージを受信した後に、前記経路情報に対応する前記経路を検証するために前記経路情報中の前記ASペアを検証するステップ、又は
    前記BGP更新メッセージを送信する前に、前記経路情報に対応する前記経路を検証するために前記経路情報中の前記ASペアを検証するステップ
    をさらに備える、請求項17に記載の方法。
  19. ネットワークデバイスに適用される自律システム(AS)ペア検証装置であって、前記ネットワークデバイスは請求項1から18のいずれか一項に記載の方法を実行するように構成された、自律システム(AS)ペア検証装置。
JP2021196904A 2020-12-04 2021-12-03 Asペア検証方法、装置及びデバイス Active JP7309828B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202011410695.2A CN114598487B (zh) 2020-12-04 2020-12-04 一种验证as对的方法、装置及设备
CN202011410695.2 2020-12-04

Publications (2)

Publication Number Publication Date
JP2022089799A JP2022089799A (ja) 2022-06-16
JP7309828B2 true JP7309828B2 (ja) 2023-07-18

Family

ID=78770421

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021196904A Active JP7309828B2 (ja) 2020-12-04 2021-12-03 Asペア検証方法、装置及びデバイス

Country Status (7)

Country Link
US (1) US20220182381A1 (ja)
EP (1) EP4009609A1 (ja)
JP (1) JP7309828B2 (ja)
KR (1) KR102602529B1 (ja)
CN (2) CN116866002A (ja)
BR (1) BR102021023638A2 (ja)
MX (1) MX2021014792A (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385246A (zh) 2018-12-28 2020-07-07 华为技术有限公司 一种安全路由识别方法及装置
JP2022511665A (ja) 2018-11-02 2022-02-01 華為技術有限公司 ルート処理方法およびネットワークデバイス

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100384142C (zh) * 2004-10-22 2008-04-23 中国人民解放军国防科学技术大学 基于多视图的域间路由异常检测方法
US7930424B1 (en) * 2007-05-09 2011-04-19 Narus, Inc. System and method for detecting bogus BGP route information
CN101588343A (zh) * 2008-05-20 2009-11-25 中国人民解放军信息工程大学 前缀与as映射关系的管理方法、报文处理方法和装置
KR20100043554A (ko) * 2008-10-20 2010-04-29 주식회사 케이티 네트워크 연결 관계 제공 시스템 및 방법
US8925079B2 (en) * 2011-11-14 2014-12-30 Telcordia Technologies, Inc. Method, apparatus and program for detecting spoofed network traffic
EP3235209B1 (en) * 2014-12-18 2020-12-02 Nokia Solutions and Networks Oy Trusted routing between communication network systems
CN108886521B (zh) * 2016-02-22 2021-09-10 动态网络服务股份有限公司 用于找到全球路由劫持的方法和设备
CN106060014B (zh) * 2016-05-18 2019-04-26 中国互联网络信息中心 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法
CN106656818B (zh) * 2016-11-18 2019-11-08 杭州迪普科技股份有限公司 一种清除快速转发表项的方法和装置
CN111698189B (zh) * 2019-03-11 2021-12-14 华为技术有限公司 Bgp路由识别方法、装置及设备
CN111130876B (zh) * 2019-12-20 2021-04-06 北京邮电大学 一种自治域系统在三维地理空间的展示方法及装置
CN111865698B (zh) * 2020-07-30 2023-10-17 中国电子信息产业集团有限公司第六研究所 一种基于地理信息的自治域级互联网拓扑可视化方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022511665A (ja) 2018-11-02 2022-02-01 華為技術有限公司 ルート処理方法およびネットワークデバイス
CN111385246A (zh) 2018-12-28 2020-07-07 华为技术有限公司 一种安全路由识别方法及装置
US20200267074A1 (en) 2018-12-28 2020-08-20 Huawei Technologies Co., Ltd. Secure route identification method and apparatus

Also Published As

Publication number Publication date
KR20220079461A (ko) 2022-06-13
CN116866002A (zh) 2023-10-10
KR102602529B1 (ko) 2023-11-14
BR102021023638A2 (pt) 2022-06-07
MX2021014792A (es) 2022-06-06
CN114598487B (zh) 2023-06-02
CN114598487A (zh) 2022-06-07
JP2022089799A (ja) 2022-06-16
EP4009609A1 (en) 2022-06-08
US20220182381A1 (en) 2022-06-09

Similar Documents

Publication Publication Date Title
US8751815B2 (en) Creating and verifying globally unique device-specific identifiers
US20030014629A1 (en) Root certificate management system and method
US8843751B2 (en) IP address delegation
JP7187692B2 (ja) ルート処理方法およびネットワークデバイス
JP5747327B2 (ja) 情報セキュリティシステム,ホスト,デバイス,その制御方法
US20230396624A1 (en) Extending border gateway protocol (bgp) flowspec origination authorization using path attributes
CN115943603A (zh) 区块链增强路由授权
JP7309828B2 (ja) Asペア検証方法、装置及びデバイス
US11277269B2 (en) System and methods for generating and authenticating verifiable network traffic
US11757827B2 (en) Network security from host and network impersonation
CN115208669B (zh) 一种基于区块链技术的分布式身份认证方法及系统
WO2022121696A1 (zh) 终端外发业务数据的路由选择方法、系统和终端
WO2018166333A1 (zh) 一种内容验证方法及设备
CN112671765B (zh) 无线网络设备合法性的验证方法和装置
CN114338788B (zh) 消息推送方法、电子设备及存储介质
CN112242976B (zh) 一种身份认证方法及装置
US20240022602A1 (en) Method and Apparatus for Route Verification and Data Sending, Device, and Storage Medium
CN111447213B (zh) 用于发现服务的验证码确定方法、装置及设备发现系统
CN114095428A (zh) 一种路由管理方法、装置及系统
TW202019189A (zh) 用於裝置連線之雲端平台及裝置連線方法
CN115208600A (zh) 路由验证、数据发送的方法、装置、设备及存储介质
JP6497051B2 (ja) 通信システム及び通信方法
Chowdhary et al. MANRS Statistical analysis and adoption in india as a collaborative security tool

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230705

R150 Certificate of patent or registration of utility model

Ref document number: 7309828

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150